MacOSX et ses failles vieilles comme le monde

Le par  |  32 commentaire(s) Source : Slashdot
MacOSX Tiger

Selon nos confrères australiens de ZD NET, MacOSX comporterait encore des failles détectées et comblées voici plus de dix ans sur d'autres systèmes d'exploitation.

Selon nos confrères australiens de ZD NET, MacOSX comporterait encore des failles détectées et comblées voici plus de dix ans sur d'autres systèmes d'exploitation.

Macosx tigerLa firme de sécurité informatique australienne SureSec, sous la houlette de son chercheur le plus chevronné, Neil Archibald, affirme que le système d'exploitation d'Apple Computer, MacOSX, comporterait de sérieuses vulnérabilités. Pire encore, ces failles existeraient depuis plus de dix ans, sans que cela semble inquièter outre mesure les développeurs de Cupertino.

Et de réouvrir une vieille (elle aussi !) querelle: MacOSX devrait sa relative insensibilité face aux virus au fait qu'il occupe finalement des parts de marché assez faibles. C'est en tout cas ce qu'affirme Archibald: "La seule raison pour laquelle MacOSX n'a pas été affligé des mêmes problèmes que Windows ou que d'autres plate-formes basées sur UNIX tient au fait qu'il est moins répandu. Si cette situation devait changer, on pourrait assister à une véritable vague de soucis de sécurité chez Apple, beaucoup plus que tout ce que l'on a connu à Redmond ou ailleurs..."

Archibald justifie son point de vue par le fait qu'Apple n'emploie aucun outil d'audit pour examiner ses logiciels propres, contrairement à Microsoft, chez qui un tel usage est largement répandu, notamment depuis la mise en place de la Trustworthy Computing Initiative, qui vise à combattre les erreurs de codage pouvant donner lieu aux tristement célèbres dépassements de mémoire tampon, ou "buffer overflow".

"Le code employé par Apple dans ses logiciels et bibliothèques dynamiques est largement sous-examiné", ajoute Archibald. "C'est ce qui explique la présence de petites erreurs de code, qui persistent parfois longtemps. Certaines de ces erreurs existaient sur des systèmes d'exploitation concurrents voici dix ou quinze ans, mais ont été réglées depuis. Pas chez Apple."

Et notre chercheur donne quelques exemples: en août dernier, les versions 10.4.x (jusqu'à 10.4.2) de MacOSX étaient affectées d'un bogue connu sous le nom de "dsidentity"; ce problème, facile à régler, permettait la création et la suppression sauvage de comptes d'administrateur sans coup férir. D'après Archibald, de telles erreurs pourraient être repérées au moyen d'une relecture attentive. D'ailleurs, lorsqu'Archibald a mentionné la faille en question aux programmeurs de chez Apple, ces derniers se seraient esclaffés tellement l'erreur était grossière...

Autres exemples: la possibilité d'une corruption d'une plage mémoire, avec transfert involontaire du contrôle d'une machine à un attaquant distant, ou plus près de nous une faille, corrigée récemment, qui affectait l'allocation de mémoire, et qui permettait à certaines applications d'écraser n'importe quel fichier du système, et de jongler avec les droits d'administration.

Selon Archibald, la faiblesse des audits internes n'est pas le seul tort d'Apple en terme de sécurité. Il est également reproché aux développeurs de la firme à la pomme de prendre parfois de haut les spécialistes de la sécurité informatique lorsque ceux-ci lui annoncent avoir découvert une vulnérabilité affectant leur système. "D'après mon expérience", nous confie Archibald, "Apple a toujours répondu avec lenteur à nos avertissements de sécurité. A croire qu'Apple s'attend à ce que les spécialistes du secteur gardent indéfiniment pour eux leurs découvertes..."

SureSec s'est récemment livrée à un audit des principaux codes sources d'Apple, à la demande de ce dernier, et de nombreux bogues ont été découverts. Tous n'occasionnaient pas de failles majeures, mais certains étaient encore présents dans les toutes dernières versions de MacOSX, tant sur PowerPC que sur Intel. C'est sans doute ce point particulier qui rend Archibald si pessimiste quant à l'avenir de la sécurité du système d'exploitation d'Apple.

Ce dernier se refuse à commenter les déclarations d'Archibald, se contentant d'indiquer que MacOSX est aussi stable et sûr qu'il peut l'être, et que tous les renseignements à ce sujet peuvent être consultés sur le site de la marque.

Qui vivra verra...

Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #82739
lol...
et dire qu'il y en a qui regrettent qu'on ne puisse pas installer cette daube infâme sur nos pc non-apple!
Le #82746
Bonsoir,

"tient au fait qu'il est moins répandu. Si cette situation devait changer"
Je crois que c'est pas pour demain '
Que les possesseurs de Mac ce rassurent
Le #82757
ha la fiabilité des Mac, avec la modestie de leurs concepteurs....
Le #82760
link83 : cette daube infâme a été copié par MS sous le nom de Windows.

wolvie : essaye donc de provoquer un kernel panic sous OS-X. Les seuls que j'ai jamais eu, c'est à cause des merdes qu'on appelle modem USB.

Et la réponse à l'article de ZDNet (pourvoyeur de rumeur en tout genre), désolé, mais c'est en anglais :

http://www.mac360.com/index.php/mac360/comments/oprah_winfrey_needs_to_challenge_eweek/

Et aussi les commentaires sur osnews.com, qui ne sont pas tristes...

Enfin, sur le site, on s'aperçoit que les failles ne sont exploitables qu'en... LOCAL !

http://www.suresec.org/ad.htm

Rien, par une attaque à distance, contrairement à ce qu'on peut - MALHEUREUSEMENT - voir sous Windows.

Il est vrai qu'une bonne partie du système est du code dérivé d'un OS assez sûr, FreeBSD, et nommé Darwin par Apple.

D'ailleurs, MacOS-X est le descendant de NextStep, qui tournait à l'origine sur 68000, puis qui a tourné sur x86, sparc et powerpc...
Le #82765
Waaaah NorahJones ... quelle réaction épidermique !!

Amha l'équipe d'apple n'as pas vraiment assimilé le BSD dont osX n'est qu'une surcouche. La preuve principale et que osX ne couvre que 10/15% maxi des fonctionnalités basiques accessibles avec la console (notamment la gestion des daemons httpd, sshd, telnetd, dhcpcd, etc etc etc)

Qd je vois ce faible taux d'assimilation, de la modestie caractéristique des dev pommistes, le postulat que l'user est un neuneu et qu'il faut l'assister on en arrive a des failles qui mettent en danger le systeme (mm si elles ne font pas vasciller le mach-kernel).

Qd a l'exploitation en local ... je hurle de rire ... qu'est ce qui empeche qu'elle soit déclenchée par un malware '
Le #82766
Waaaah KerTiaM ... ton poste ne veut rien dire ...

OsX, une surcouche de BSD. N'importe quoi, on voit bien que tu ne maitrises pas du tout le sujet...

Quant à la modestie, rien qu'à voir les commentaires "éclairés" qui ont déjà été posté, je crois qu'il n'y a rien à dire.

Mais j'aime bien ton idée d'exploitation par le malware en local. Pour ça, l'utilisateur doit installer lui même le programme (et donner le mot de passe administrateur par la même occasion), ce qui s'appelle le facteur humain. Chose contre laquelle on ne peut lutter quand on connait un minimum la sécurité en informatique (c'est ce qu'on apprends au premier cours ...).
Je hurle de rire aussi devant autant d'insignifiance.


Pour finir, quel est le but de c'est article ' il est toujours bon de savoir à qui profite le crime. Et je doute que dans ce cas ce soit pour le "bien" d'Apple. Peut être autre chose ...
Le #82767
Des rumeurs, encore des rumeurs,...

Vous n'en avez pas marre ''

Dans le cas où ces failles existent vraiment, je trouve scandaleux qu'elles ne soient pas corrigées. <img src="/img/emo/confused.gif" alt=":'" />

En revanche, si on se sert de ces prétentues failles, comme Symantec ou autres le font pour faire peur au chaland, je comprends mieux pourquoi ils tentent de nous "vendre" leurs solutions anti-virus sous Mac OS X.

Comme l'a dis pelo_was_here, LA faille de sécurité principale est l'utilisateur derrière la machine qui ne s'y connaît guère en informatique.

Et à qui profite le "crime" ' Aux éditeurs anti-virus et aux connards d'analystes qui pas plus tard qu'au début de l'année dernière étaient encore en train d'enterrer vivante Apple.
Le #82772
pelo_was_here :
Waaaah KerTiaM ... ton poste ne veut rien dire ...


Désolé pour toi que tu n'ai pas compris...



OsX, une surcouche de BSD. N'importe quoi, on voit bien que tu ne maitrises pas du tout le sujet...


Ok ... OSx = Aqua + darwin... Darwin est un bsd et Aqua qu'un front-end. Mise a part le fait que j'administre le parc de mac de ma boite je suis en dehors du sujet



Mais j'aime bien ton idée d'exploitation par le malware en local. Pour ça, l'utilisateur doit installer lui même le programme (et donner le mot de passe administrateur par la même occasion)


Tu n'as pas suivi la news ... il est possible de faire une escalade de privileges sans trop de peine (inutile de rentrer de mot de passe dans la jolie boite popup avec le cadenas). Qd au fait de pieger un user c pas trop complexe hein... Je veux bien que les pommistes soient de doux reveurs mais faut reposer les pieds sur terre, les users macs ne sont pas de super users, ils sont piegeables comme tous les autres.
Le #82774
KerTiaM : tu en as sorti de bien grosse

1) BSD est un nom générique d'OS cousin germain d'Unix.

2) "Qd je vois ce faible taux d'assimilation, de la modestie caractéristique des dev pommistes, le postulat que l'user est un neuneu et qu'il faut l'assister on en arrive a des failles qui mettent en danger le systeme (mm si elles ne font pas vasciller le mach-kernel)."

Source '

Sous Unix et BSD, l'user de base doit avoir UN MINIMUM DE DROIT, C'EST UN IMPÉRATIF DE SÉCURITÉ SYSTÈME.

3) "Qd a l'exploitation en local ... je hurle de rire ... qu'est ce qui empeche qu'elle soit déclenchée par un malware '"

Tu es vraiment une personne qui ignore tout de MacOS-X. Si un logiciel veut accéder à la partie intime du système, il faut que l'utilisateur entre le mot passe...

Si tu avais cherché un tant soit peu, tu aurais entendu du seul """"virus"""" jamais découvert pour MacOS-X, Renopo.

pelo_was_here : "Quant à la modestie, rien qu'à voir les commentaires "éclairés" qui ont déjà été posté, je crois qu'il n'y a rien à dire."

Sur les premiers commentaires, seul le mien a été argumenté. Etonnant de voir le niveau des réactions. Dès qu'on veut argumenter = réaction épidermique.

Symantec, McAffee et compagnie ne cherche qu'une chose : vendre leur merde. Car, un unix n'aura jamais besoin d'antivirus, car un unix est par définition invulnérable aux virus.

Il est étrange de noter que le seul OS non basé sur les fondements d'unix est vérolable à volonté...

Même feu MacOS (avant la version X) n'a connu qu'une grosse poignée de virus...
Le #82780
Tu es vraiment une personne qui ignore tout de MacOS-X. Si un logiciel veut accéder à la partie intime du système, il faut que l'utilisateur entre le mot passe...

C'est justement l'interet de cette faille ci : "dsidentity"; ce problème, facile à régler, permettait la création et la suppression sauvage de comptes d'administrateur sans coup férir.
Reconnue par les eleveurs de pommes a pepins ...


1) BSD est un nom générique d'OS cousin germain d'Unix.



Si tu as un mac et que tu sais ou se trouve la touche pomme et la touche A, fouille dans le dossier utilitaires puis terminal et là ..tapes man (en minuscule) et ... oh magie ... on voit de quel BSD est issue ce qui fait survivre le trognon que tu prends pour une pomme

Allez... sans rancune hein
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]