Énorme bug d'accès root : Apple corrige et fait acte de contrition

Le par Jérôme G.  |  4 commentaire(s)
macOS-High-Sierra-root

Une correction en urgence et de plates excuses d'Apple pour le bug d'accès root dans macOS High Sierra. Le patch introduit cependant un autre bug.

Apple diffuse une mise à jour de sécurité pour macOS High Sierra. Elle vient corriger la faille qui permettait à un attaquant d'obtenir un accès root sans fournir un mot de passe. Ce gros et étonnant bug était exploitable dans la mesure où le compte root n'avait pas été préalablement activé avec un mot de passe défini.

Des chercheurs en sécurité avaient évoqué la possibilité d'une exploitation à distance, comme par le biais d'une connexion VNC. Un point sur lequel Apple ne s'étend pas et écrit que son patch " améliore la validation des informations d'identification. "

Apple présente tout de même ses excuses, et ce de manière très appuyée, ce qui est rare. " La sécurité est une priorité absolue pour tous les produits Apple. […] Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois pour la publication de cette vulnérabilité et pour l'inquiétude qu'elle a causée. "

Un porte-parole d'Apple ajoute : " Nos clients méritent mieux. Nous auditons nos processus de développement pour éviter que cela ne se reproduise. " En filigrane, c'est l'aveu d'une belle boulette et un sacré savon qui va être passé en interne.

Apple indique que ses ingénieurs en sécurité ont pris connaissance du problème mardi et un patch était disponible le lendemain. Le bug avait été rendu public sur Twitter par un développeur turc du nom de Lemi Orhan Ergin. Il n'est en tout cas pas remercié dans les notes de version de la mise à jour de sécurité comme cela est habituellement de coutume.

Comme le souligne Lemi Orhan Ergin, il s'avère que le bug avait déjà été évoqué sur les forums d'Apple dès le 13 novembre, mais davantage en tant que contournement pour accéder à des comptes avec des privilèges d'administrateur. Il assure en outre qu'Apple a été prévenu du problème le 23 novembre par la société pour laquelle il travaille.

Avec son patch en urgence, Apple a par ailleurs introduit un bug au niveau du partage des fichiers qui pourrait ne pas fonctionner (pour l'accès à des dossiers partagés par d'autres utilisateurs et à tous les volumes pour les administrateurs). Le cas échéant, un correctif manuel est décrit ici (commande " sudo /usr/libexec/configureLocalKDC " dans le Terminal).

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
kerlutinoec offline Hors ligne VIP icone 13665 points
Le #1990539
Va-t-il y avoir un branleur de viré ?
Safirion away Absent VIP icone 40542 points
Le #1990567
Au moins ça a été patché rapidement...
Anonyme
Le #1990606
Et pendant ce temps, Google corrige son smiley hamburger
lebonga offline Hors ligne VIP avatar 32185 points
Le #1990627
Ah bah bien, le patch corrige une erreur et ... En génère une autre...


icone Suivre les commentaires
Poster un commentaire