crédit photo © drx - Fotolia.com
Après Microsoft, au tour d’Apple. Pas plus que celle de Redmond, la firme de Cupertino n’échappe à l’attention des fins limiers du Project Zero de Google. Cette équipe de chercheurs en sécurité informatique chargée de détecter les failles dans les principaux produits logiciels du marché vient de dévoiler trois vulnérabilités affectant différentes composantes du système d’exploitation OS X.
Aucune de ces brèches ne peut être exploitée sans accès direct à la machine visée, mais le niveau de criticité est jugé sévère au vu des actions qui peuvent être réalisées par des tiers après élévation de privilèges au niveau administrateur. Indique ITespresso.fr. Communiquée à Apple le 20 octobre 2014, la première faille concerne le demon système networkd, exécuté avec les permissions de la session en cours, et qui implémente le service réseau XPC. Selon Google, le problème réside dans la gestion des paramètres associés aux fonctions xpc_dictionary_get_value et xpc_array_get_value. D’après les chercheurs en sécurité, il est possible d’en atténuer les effets sur la dernière version d’OS X (10.10 « Yosemite »).
Même constat pour la deuxième faille, qui se trouve dans le framework open source IOKit, basé sur une forme simplifiée du langage C++ et utilisé par les développeurs pour élaborer des pilotes à destination d’OS X, mais aussi d’iOS. Le problème réside dans la gestion des entrées-sorties pour la communication avec différents périphériques système.
La troisième faille affecte aussi IOKit et plus particulièrement la gestion des connexions Bluetooth. Elle peut entraîner une corruption de la mémoire par dépassement de capacité en manipulant la commande bzero pour injecter des bits.
Trois failles non corrigées potentiellement exploitables, donc. C’est pour cela que Google les rend public. Dans un premier temps, le Project Zero ne communique ces vulnérabilités qu’aux éditeurs concernés. Mais à défaut d’une réaction de l’éditeur sous 90 jours, Google rend publiques les failles en question espérant ainsi faire pression sur le responsable afin de faire accélérer le développement de correctifs. Comme l’a notamment appris à ses dépens Microsoft à plusieurs reprises ces derniers temps.
Google n’avait ainsi pas attendu la publication du Patch Tuesday de janvier pour dévoiler une faille dans Windows, ce que lui a vertement reproché Microsoft. Ce qui n’a pas empêché Mountain View de recommencer quelques jours plus tard…
Lire également
Project Zero : l’équipe de choc anti-failles zero day de Google
Flash Player victime d’une faille zero day exploitée
Faille critique dans le firmware UEFI de plusieurs constructeurs
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…