• Forums
  •  » Mac OS
  •  »  Vulnérabilité 0day sur macOs High Sierra

#1 29-11-2017 19:55:14

JoeKer
Modérateur en grève
Lieu: Dans le désert ...
Date d'inscription: 26-03-2008
Messages: 40206
Site web

Vulnérabilité 0day sur macOs High Sierra

Bonsoir.

Une vulnérabilité 0day a été découverte sur High Sierra (10.13.0 et 10.13.1).
Elle permet à un utilisateur authentifié de prendre le contrôle total d'un système vulnérable.

Plus de renseignements :
- Avec le support Apple
- Avec SecurityTracker


On a déjà vu des choses qui ne sont jamais arrivées ...
Suite à un vieux désaccord avec les admins du forum, cette signature indiquera qu'ils n'ont toujours pas remédié à leurs carences.

Hors ligne

 

#2 29-11-2017 20:59:44

Gipeca
"Ex-Modérateur"
Lieu: Dans le désert ...
Date d'inscription: 09-06-2009
Messages: 21350
Site web

Re: Vulnérabilité 0day sur macOs High Sierra

Bonsoir,

Pas d'affolement.

A local user can obtain root privileges on the target system.

A priori, ce n'est qu'un utilisateur local, donc ayant un accès physique au Mac qui peut faire ça, pas un utilisateur à distance.
Le correctif est déjà publié.

Découvert le 28, correction publiée le 29.
Ça va plus vite que les correctifs Orange  peace


https://i37.servimg.com/u/f37/18/84/50/99/14493410.gif     SOSH     Livebox2   SG20_sip-fr-5.2.20.1    NRA: SNA76    ADSL Attn.: 30dB    Synchro: 16 Mb/s

Hors ligne

 

#3 29-11-2017 23:56:50

JoeKer
Modérateur en grève
Lieu: Dans le désert ...
Date d'inscription: 26-03-2008
Messages: 40206
Site web

Re: Vulnérabilité 0day sur macOs High Sierra

N'étant pas un spécialiste du Mac, je ne sais comment sont "poussés" les correctifs ...

Je n'ai peut-être pas pensé au fait qu'un Mac, ça ne se partage pas wink

Dans la mesure où j'ai l'info et où elle me paraît suffisamment importante, je la diffuse smile
Je ne dirais pas "Découvert le 28", plutôt "Annoncé le 28" smile


On a déjà vu des choses qui ne sont jamais arrivées ...
Suite à un vieux désaccord avec les admins du forum, cette signature indiquera qu'ils n'ont toujours pas remédié à leurs carences.

Hors ligne

 

#4 30-11-2017 00:14:03

Europa
Avant FONO j'avais une vie
Lieu: A la plage
Date d'inscription: 15-10-2009
Messages: 3233

Re: Vulnérabilité 0day sur macOs High Sierra


Suite à un désaccord avec les modérateurs du forum je prends  la sortie  droite Persona non grata ? Qualifié de NoEdit ! Par les dirigeants du Forum > Бараг

Hors ligne

 

#5 30-11-2017 00:21:50

JoeKer
Modérateur en grève
Lieu: Dans le désert ...
Date d'inscription: 26-03-2008
Messages: 40206
Site web

Re: Vulnérabilité 0day sur macOs High Sierra

Merci Europa !

Selon l'article de 01Net, la faille serait connue depuis 2 mois ...


On a déjà vu des choses qui ne sont jamais arrivées ...
Suite à un vieux désaccord avec les admins du forum, cette signature indiquera qu'ils n'ont toujours pas remédié à leurs carences.

Hors ligne

 

#6 30-09-2018 13:56:52

michelangelo
Membre
Date d'inscription: 17-10-2015
Messages: 96

Re: Vulnérabilité 0day sur macOs High Sierra

Une précision sur la datation des failles de sécurité (ceci n'est pas spécifique macOS):

1 - Date à laquelle le spécialiste indépendant en sécurité a communiqué *sous secret à l'éditeur du logiciel concerné un descriptif de la faille et un cas d'école d'exploitation de cette faille. Dans cette communication, figure une seconde date:

2 - Date à laquelle la période de secret à laquelle s'astreint le spécialiste indépendant en sécurité cesse: à cette date, ce spécialiste se considérera comme libre de publier (mettre dans le domaine public) la communication qu'il a faite confidentiellement à la première date.

Souvent, cette période de secret est de trois mois.

Dès qu'il le peut, après des échanges entre eux et le découvreur de la faille (et, le cas échéant, le paiement d'un "bounty paiement"), l'éditeur du logiciel comportant la faille diffuse un correctif de sécurité assorti, le cas échéant, de précisions sur l'utilité de ce correctif de sécurité.

Microsoft, par exemple, regroupe ses (nombreux) correctifs de sécurité, le mardi, je crois ("Patch tuesday")

Apple en a incomparablement moins, et continue à les émettre à la demande.

A l'exception de ceux de la Livebox qui sont toujours poussés, les correctifs de sécurité sont poussés ou tirés selon un paramétrage que fait l'utilisateur. La tendance va clairement vers le fait que ces correctifs seront de plus en plus poussés, comme ceux de la Livebox ou plus généralement des appareils faisant directement face à l'internet.

Les méchants utilisent en effet les correctifs de sécurité comme annonce de l'existence d'une vulnérabilité et, par du reverse engineering du patch, tentent de reconstituer la vulnérabilité et le scénario d'attaque. Le tout pour exploiter à leur profit la nouvelle vulnérabilité, *avant l'installation du patch par les utilisateurs du logiciel concerné (d'où l'intérêt pour tous sauf les méchants de l'installation automatique poussée de ces matchs).

Un mot sur macOS et la presse informatique Windows (O1net par exemple). La presse Windows assimile, à tort, et à priori sans le faire exprès (encore que...) macOS à Windows et produit de ce fait des communiqués anxiogènes dont le caractère anxiogène n'est pas justifié sur les failles macOS. C'est irritant mais c'est ainsi.

Celle-ci était de très faible gravité (car locale) et a été patchée, comme toujours, par Apple dans un délai record. Pas de quoi en effet, pour 01net, en faire un fromage !

Juste mes 2 sous.

Dernière modification par michelangelo (30-09-2018 14:03:52)


--
Michelangelo - VDSL2 Orange Open Zen 2Go, Livebox Play (3), pare-feu routeur Pfsense (Netgate SG-1000) distribuant deux VLAN, WIFI par bornes Airport Extreme et Express et Time Capsule, macOS 10.13.6

Hors ligne

 
  • Forums
  •  » Mac OS
  •  »  Vulnérabilité 0day sur macOs High Sierra

Powered by PunBB
© Copyright 2002–2008 PunBB