Une faille critique repérée dans Mac OS

Le par  |  31 commentaire(s)
macos-gatekeeper

Un chercheur de Google a annoncé avoir découvert une faille importante dans le noyau de MacOS.

Le Project Zero de Google continue de porter ses fruits : Google a mis sur pied en 2014 une équipe d'experts en sécurité informatique spécialisée dans la recherche de failles de type Zero Day dans les logiciels les plus populaires au monde.

macOS-Mojave-App-Store

Et aujourd'hui, c'est MacOS qui est pointé du doigt pour une faille jugée "très sérieuse" par l'équipe de Google. Apple a été contacté à ce sujet il y a plus de 90 jours, mais a refusé de procéder à un correctif, de fait, Google vient de rendre la faille publique, exposant ainsi potentiellement des milliers d'utilisateurs.

La faille est liée au module COW (Copy on write) de MacOS qui permet de créer des copies de ressources par des processus qui en ressentent le besoin, ce qui permet des accès simultanés aux fonctions et accélère notamment les processus de modification de fichiers.

Selon Google, il serait possible pour un pirate d'exploiter une faille dans ce module afin de modifier un fichier sur le disque local sans que le sous-système n'en soit averti. Cette procédure ne demanderait pas de droits particuliers et se veut donc jugée dangereuse par Google.

Si Apple n'a pas réagi dans l'espace des 90 jours accordés, le chercheur à l'origine de la découverte précise maintenir le contact avec la firme dans le but d'assister à la création d'un correctif qui sera déployé dans la prochaine mise à jour de l'OS, sans urgence réelle donc...

Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2053492
Ou comment foutre dans la merde des milliers d'utilisateurs Mac.

"Merci" Google ...
Le #2053500
FRANCKYIV a écrit :

Ou comment foutre dans la merde des milliers d'utilisateurs Mac.

"Merci" Google ...


Parce que c'est mieux qu'une faille non corrigée ?
Au moins ils n'auront pas le choix...

Article pus complet (en anglais) :
https://www.wired.com/story/google-project-zero-buggycow-macos-zero-day/
Le #2053501
FRANCKYIV a écrit :

Ou comment foutre dans la merde des milliers d'utilisateurs Mac.

"Merci" Google ...


Mouais... Apple a été prévenu il y a près de 3 mois de cela... Ils ont aussi leur responsabilité.

S'il faut leur mettre un peu la pression pour qu'ils s'activent, c'est con mais pourquoi pas...

Édit : oops grilled
Le #2053505
FRANCKYIV a écrit :

Ou comment foutre dans la merde des milliers d'utilisateurs Mac.

"Merci" Google ...


C'est quand même pas Google qui a foiré ... Ce genre de découverte ça coûte une fortune dans un programme de bug bounty classique. Google fait le taff de manière gratos avec projet zéro. Et en plus de ça ils proposent leur aide. Autant Google est une plaie pour certaine chose autant là ça devrait être du pain béni pour Apple qui pourtant a préféré refuser de reconnaître le problème. Pas malin ... Maintenant ils vont en plus d'avoir à corriger les soucis travailler quelques temps pour gérer la crise et ses éventuelles répercutions.
Le #2053509
CodeKiller a écrit :

FRANCKYIV a écrit :

Ou comment foutre dans la merde des milliers d'utilisateurs Mac.

"Merci" Google ...


Parce que c'est mieux qu'une faille non corrigée ?
Au moins ils n'auront pas le choix...

Article pus complet (en anglais) :
https://www.wired.com/story/google-project-zero-buggycow-macos-zero-day/


Faille existante pas du tout médiatisée = quasi inexistante.

Faille ultra médiatisée = dangereuse.

Put@in c'est élémentaire pourtant ...
Le #2053510
Les mecs de Google n'ont qu'à travailler directement chez Apple s'ils veulent réellement être utile.
Le #2053511
Kiriito a écrit :

FRANCKYIV a écrit :

Ou comment foutre dans la merde des milliers d'utilisateurs Mac.

"Merci" Google ...


Mouais... Apple a été prévenu il y a près de 3 mois de cela... Ils ont aussi leur responsabilité.

S'il faut leur mettre un peu la pression pour qu'ils s'activent, c'est con mais pourquoi pas...

Édit : oops grilled


Ils ne mettent pas la pression qu'à Apple, mais aussi à tout leurs utilisateurs, et c'est c'est bien plus grave.
Le #2053513
Pour moi il n'y a pas de White Hat ou de Black Hat, il n'y a que des hackers.

A la limite le seul White Hat que je reconnais est le gars qui va être payer par la société pour vérifier les failles.

Et pas les mecs qui demandent rien et hack.
Le #2053514
FRANCKYIV a écrit :

CodeKiller a écrit :

FRANCKYIV a écrit :

Ou comment foutre dans la merde des milliers d'utilisateurs Mac.

"Merci" Google ...


Parce que c'est mieux qu'une faille non corrigée ?
Au moins ils n'auront pas le choix...

Article pus complet (en anglais) :
https://www.wired.com/story/google-project-zero-buggycow-macos-zero-day/


Faille existante pas du tout médiatisée = quasi inexistante.

Faille ultra médiatisée = dangereuse.

Put@in c'est élémentaire pourtant ...


quasi inexistante au grand public je suis d'accord mais pour un groupe de hacker elle est utilisable et du fait que apple refuse de corriger alors ils auraient le champ libre pendant pas mal de temps...

Qu'elle soit ultramédiatisé c'est pas forcément la bonne approche je te l'accorde mais cela dépend d'une chose pour moi : que veux dire l'auteur de l'article par "apple a refusé de corriger" si c'est un refus, Google devait trouver une solution pour que ce problème soit corriger mais si c'est que apple ne communique pas c'est autre chose ...
Le #2053515
iinconnu a écrit :

FRANCKYIV a écrit :

CodeKiller a écrit :

FRANCKYIV a écrit :

Ou comment foutre dans la merde des milliers d'utilisateurs Mac.

"Merci" Google ...


Parce que c'est mieux qu'une faille non corrigée ?
Au moins ils n'auront pas le choix...

Article pus complet (en anglais) :
https://www.wired.com/story/google-project-zero-buggycow-macos-zero-day/


Faille existante pas du tout médiatisée = quasi inexistante.

Faille ultra médiatisée = dangereuse.

Put@in c'est élémentaire pourtant ...


quasi inexistante au grand public je suis d'accord mais pour un groupe de hacker elle est utilisable et du fait que apple refuse de corriger alors ils auraient le champ libre pendant pas mal de temps...

Qu'elle soit ultramédiatisé c'est pas forcément la bonne approche je te l'accorde mais cela dépend d'une chose pour moi : que veux dire l'auteur de l'article par "apple a refusé de corriger" si c'est un refus, Google devait trouver une solution pour que ce problème soit corriger mais si c'est que apple ne communique pas c'est autre chose ...


Oui c'est sûr, les hackers d'élites sont très au courant j'imagine.

Mais la avec la médiatisation, même le hacker moyen l'est !

Après, je ne pense pas qu'Apple refuse de corriger une faille .... pour quel prétexte d'abord ?

Je pense plutôt que corriger certaines failles ne se fait pas en un jour, ni en 1 mois, mais bien en plusieurs mois suivant les complexités.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme