Vulnérabilités OS X : Google divulgue des 0-day

Le par  |  30 commentaire(s) Source : Ars Technica
FileVault-OSX

Via son Project Zero, Google a récemment divulgué publiquement des détails techniques de trois vulnérabilités non corrigées affectant le système d'exploitation OS X. Apple est traité de la même manière que Microsoft.

En matière de sécurité informatique, la tension est montée d'un cran entre Microsoft et Google. La firme de Redmond a reproché à celle de Mountain View d'avoir diffusé des détails techniques de vulnérabilités affectant Windows avant que des correctifs ne soient disponibles.

De telles divulgations ont eu lieu via le Project Zero dont la politique est de notifier en amont un éditeur concerné. Passé un délai de 90 jours, une divulgation publique (ou full disclosure) a lieu même si le correctif idoine n'est pas disponible.

Google s'est montré inflexible sur ce délai de 90 jours, refusant notamment d'accéder à la demande de Microsoft de retarder de deux jours un full disclosure. Cela aurait permis au Patch Tuesday de janvier d'agir à temps. Pire... Google a récidivé peu de temps après.

Apple_logoArs Technica a constaté qu'Apple a droit au même traitement que Microsoft. À noter qu'Apple a souvent été pointé du doigt par des experts en sécurité pour sa lenteur à patcher et semblait en avoir tenu cas. Le 20, 21 et 23 octobre 2014, le Project Google a prévenu de manière confidentielle Apple de trois failles de sécurité dans OS X. Celles-ci ont été divulguées après 90 jours, alors que la firme à la pomme n'a pas apporté de correctif.

En poussant les recherches un peu plus loin, nous avons également constaté que sont dans le même cas d'autres vulnérabilités affectant OS X pour lesquelles Apple a été prévenu mi-2014. Hormis pour une au risque faible, le niveau de dangerosité pour les autres est qualifié d'élevé.

Quelques bémols toutefois dans la mesure où les exploitations nécessitent pour des attaquants d'avoir accès à l'ordinateur Mac pris pour cible. À voir maintenant si Apple se montrera aussi énervé que Microsoft par l'attitude de Google.

Interrogé par iTnews, Apple a refusé de se livrer à des commentaires. Un porte-parole a seulement aiguillé vers une page du site d'Apple où l'on peut lire :

" Pour la protection de nos clients, Apple ne divulgue pas, aborde ou confirme des problèmes de sécurité avant une enquête approfondie et tant que des correctifs ou mises à jours ne sont pas disponibles. "

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1830439

Google s'est montré inflexible sur ce délai de 90 jours,



Google commence sérieusement à écorcher son image de marque auprès de moi.

Moins je l'utilise, mieux je me porte.
Le #1830443
microsoft et apple ont plus que les moyens financiers d'avoir le personnel pour patcher leurs progénitures .
Je trouve que la position de Google est défendable à tous les points de vus.
Le #1830444

Je trouve que la position de Google est défendable à tous les points de vus.



Donc tu trouves normal que des pirates utilisent les failles ?
Le #1830454
Je dirai que l'attitude de google est louable dans la mesure ou elle contribue à la sécurité des O.S., mais pourquoi divulguer ces failles après 90 jours ???

Après, 3 mois pour combler une faille, je pense que ça suffit largement ; les éditeurs d'O.S. sont fautifs, à ce niveau...
Le #1830470
"Quelques bémols toutefois dans la mesure où les exploitations nécessitent pour des attaquants d'avoir accès à l'ordinateur Mac pris pour cible."

Je trouve surtout que Google commnce avoir une bien grande gueule.
Ils me déçoivent aussi.

QUEL terminal, OS, OSmobile, peut se targuer de n'avoir aucune faille de sécurité si l'attaquant y a accès ???
Non mais c'est complètement con comme condition, puisque par definition si quelqun de malveillant à déjà acces au terminal, c'est trop tard.

Et puisqu'ils sont aussi grande gueule que ça chez Google, ils peuvent nous certifier qu'un hacker ne pourra rien faire de malveillant si il a acces à un Chromebook ou à un terminal Android ?
Ils me font
Le #1830474
FRANCKYIV a écrit :


Je trouve que la position de Google est défendable à tous les points de vus.



Donc tu trouves normal que des pirates utilisent les failles ?


donc tu trouves normal que sur un systeme PAYANT et PROPRIETAIRE , les failles ne soient pas corrigees?
Le #1830475
Elbutcher a écrit :

"Quelques bémols toutefois dans la mesure où les exploitations nécessitent pour des attaquants d'avoir accès à l'ordinateur Mac pris pour cible."

Je trouve surtout que Google commnce avoir une bien grande gueule.
Ils me déçoivent aussi.

QUEL terminal, OS, OSmobile, peut se targuer de n'avoir aucune faille de sécurité si l'attaquant y a accès ???
Non mais c'est complètement con comme condition, puisque par definition si quelqun de malveillant à déjà acces au terminal, c'est trop tard.

Et puisqu'ils sont aussi grande gueule que ça chez Google, ils peuvent nous certifier qu'un hacker ne pourra rien faire de malveillant si il a acces à un Chromebook ou à un terminal Android ?
Ils me font


ah tant que c etait MS ca ne te genait pas, on en t a pas entendu, mais s il attaquent le dieu apple, tu gueules?

indignatioin a geometrie variable?

fanboy spotted....
Le #1830483
lepingouinenfolie a écrit :

FRANCKYIV a écrit :


Je trouve que la position de Google est défendable à tous les points de vus.



Donc tu trouves normal que des pirates utilisent les failles ?


donc tu trouves normal que sur un systeme PAYANT et PROPRIETAIRE , les failles ne soient pas corrigees?


Ca ne change en rien ma question ...
Anonyme
Le #1830505
Si Google trouve les failles c'est qu'ils en a bien d'autres qui les trouvent aussi. Surement des mal intentionnés. Donc c’est très bien de dire publiquement à Apple et Microsoft de se grouiller le derrière pour patcher.
Le #1830509
sir_renard a écrit :

Si Google trouve les failles c'est qu'ils en a bien d'autres qui les trouvent aussi. Surement des mal intentionnés. Donc c’est très bien de dire publiquement à Apple et Microsoft de se grouiller le derrière pour patcher.


Le truc, c'est qu'il ne le dit pas qu'à Microsoft ou Apple, mais à tout l'Internet ...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]