Malware Flashback : Apple publie un correctif pour OS X Leopard

En fait c'est pas un correctif... c'est un moyen de contournement et un outil de désinfection. Le problème reste entier (même s'il n'est probablement pas entièrement dans les mains d'apple vu que c'est des plugins externes).

comprends pas la solution : problème attaque via java --> solution
1) on vire java (forcémment ....) puis
2) on sort un outil qui repère et supprime l'infection ...? puis
3) on sort un outil pour désactiver flash et/ou le mettre à jour ... c'est quoi la 4) on sort un scanner qui supprime bootcamp et les install d'autres OS ???

franchement ca fait un peu peur leurs "solutions" ... ! on va me dire que je suis un hater ... mais là c'est pas de la haine, c'est de la pitié pour les utilisateurs d'un tel système ... on dirait MS il y a 10 ans ^^

Startide a écrit:
En fait c'est pas un correctif... c'est un moyen de contournement et un outil de désinfection. Le problème reste entier (même s'il n'est probablement pas entièrement dans les mains d'apple vu que c'est des plugins externes).

C'est une mise à jour de l'utilitaire de sécurité intégré à l'OS. On pourra dire : c'est pas trop tôt (même si Leopard est de moins en moins utilisé).

---

ben100g a écrit:
comprends pas la solution : problème attaque via java --> solution
1) on vire java (forcémment ....) puis
2) on sort un outil qui repère et supprime l'infection ...? puis
3) on sort un outil pour désactiver flash et/ou le mettre à jour ... c'est quoi la 4) on sort un scanner qui supprime bootcamp et les install d'autres OS ???

franchement ca fait un peu peur leurs "solutions" ... ! on va me dire que je suis un hater ... mais là c'est pas de la haine, c'est de la pitié pour les utilisateurs d'un tel système ... on dirait MS il y a 10 ans ^^

Ben tu veux faire quoi ? Sur Windows, un malware comme celui-ci est contré par un antivirus à jour. Ben sur OSX c'est pareil, sauf que l'antivirus, même s'il est rudimentaire, est intégré à l'OS.
Sur Windows, Java est installé par défaut ? Ben sur OSX c'est pareil (dans la prochaine version d'OSX).
Sur Windows, Flash est installé par défaut ? Ben sur OSX c'est pareil.

Java n'est pas installé par défaut sur Windows et encore heureux d'ailleurs. C'est une vraie daube, plus gourmand en lent que ca on peut pas trouver....

un OS sans java ni flash ... c'est pas super pour le web ^^ je ne comprends pas que lors d'une faille de sécurité d'un composant logiciel, faille pour lequel il existe un patch (que Apple n'a pas voulu diffuser), on supprime le composant (au lieu de le patcher) ? je ne comprends pas qu'on désactive Flash quand une faille non patchée touche Java ? je ne comprends pas à quoi rime cette politique de sécurité ... les antivirus / antimalware sous Win ne désactivent/désinstallent pas des composants à l'origine d'une faille aux dernières nouvelles. C'est un peu comme si en période d'épidémie H5N1 on te dit de te vacciner contre la vache folle, ca ne rime à rien ^^

Concernant Flash Player, il n'est pas dit que l'outil fourni est destiné à corriger le problème Flashback. Peut-être qu'il s'agit simplement d'un dispositif de sécurité justement, afin de prévenir d'éventuelles failles venant de Flash.

flash et java n'ont jamais été installer par défaut sur windows...

Mais la il y a un truc que je ne comprend pas si maintenant une applet java est lancé et ci celle ci n'est pas un virus alors elle sera aussi bloquer? parce que ce si c'est comme ça, et bien c'est pas vraiment boucher une faille c'est surtout bloquer un grand nombre de choses.

ben100g a écrit:
un OS sans java ni flash ... c'est pas super pour le web ^^

Si si au contraire, ça permet de profiter du meilleur de Web sans les bloatware.

> je ne comprends pas que lors d'une faille de sécurité d'un composant logiciel, faille pour lequel il existe un patch (que Apple n'a pas voulu diffuser), on supprime le composant (au lieu de le patcher) ? je ne comprends pas qu'on désactive Flash quand une faille non patchée touche Java ? je ne comprends pas à quoi rime cette politique de sécurité ...

Achete toi u cerveau Ce sont 2 problèmes différents
Apple désactive les versions de Flash non patchées, obligeant l'utilisateur à utiliser une version sans cette faille

@Startide & Ben100g

Vous êtes incroyables (2 premiers post en plus), les news Apple c'est comme les mouches à @!#$?* sur un tas de fumier

Teetwe > au moins on parle de la news, pas comme toi qui te contente d'une attaque personnelle sans intérêt...

---

(et injustifiée pour le coup par ailleurs).

---

Franck a écrit:
Apple désactive les versions de Flash non patchées, obligeant l'utilisateur à utiliser une version sans cette faille

Enfin désactiver via un patch des outils que les gens ont déjà pas patché... Je sais pas si ca va être efficace, non ? comment ca marche sous Mac OS les mises à jour, c'est comme windows update qui te casse les burnes jusqu'à ce que tu télécharges et reboot le PC (quand nécessaire) ?

Ou c'est moins contraignant (et du coup les gens le font pas ?) ?

ben100g a écrit:
comprends pas la solution : problème attaque via java --> solution

Je veux pas être méchant, mais bon ça m'étonne pas trop que tu sois pas capable les subtilités des choix d'une entreprise employant des milliers d'ingénieurs.

ben100g a écrit:

1) on vire java (forcémment ....) puis

Ben déjà non, pas viré, simplement désactivé (et réactivable) chez ceux qui n'utilisent jamais Java.

ben100g a écrit:

2) on sort un outil qui repère et supprime l'infection ...? puis

Oui comme ferait un anti-malware digne de ce nom... et donc ?

ben100g a écrit:

3) on sort un outil pour désactiver flash et/ou le mettre à jour ...

Oui on force les gens qui veulent de Flash à le mettre à jour. Ce qui a d'ailleurs été salué par Adobe, qui n'a vraiment aucun intérêt à ce qu'on assimile son plugin à une passoire à virus.

ben100g a écrit:
c'est quoi la 4) on sort un scanner qui supprime bootcamp et les install d'autres OS ???

Non. S'il y a des virus sur un Mac faisant tourner Windows, ça devient le problème de Microsoft, et plus d'Apple. Au contraire même, plus il y aura des malwares, plus ça sera une incitation aux gens à utiliser OS X plutôt que Windows sur leur Mac.

ben100g a écrit:

franchement ca fait un peu peur leurs "solutions" ... ! on va me dire que je suis un hater ... mais là c'est pas de la haine, c'est de la pitié pour les utilisateurs d'un tel système ... on dirait MS il y a 10 ans ^^

Non c'est juste que t'as rien compris à ce qui vient de se passer, et que tu imagines des choses qui ne sont pas arrivées.

ben100g a écrit:
un OS sans java ni flash ... c'est pas super pour le web ^^

Tu confonds déjà visiblement Java et Javascript... qui sont totalement indépendants.
Et Flash bon... Aujourd'hui 80% des vidéos sont dispo en MP4, les anims (menus, clignotements) ça se fait quasiment plus qu'en JS, reste les pubs bien lourdingues mais ça qui va les pleurer ?

Le web c'est un standard ouvert, pas un bazar à plugins proprios, fermés et payants (pour les devs). Je ne comprends pas comment on peut critiquer Apple, alors qu'ils ont fait beaucoup pour le développement du HTML5.

ben100g a écrit:
je ne comprends pas que lors d'une faille de sécurité d'un composant logiciel, faille pour lequel il existe un patch (que Apple n'a pas voulu diffuser), on supprime le composant (au lieu de le patcher) ?

Pour 10.6 et 10.7 vu que ce sont des OS supportés avec une version de Java récente il y a un patch pour corriger la faille (plus bien entendu un outil pour nettoyer ceux qui auraient eu la malchance d'être infectés). Il y a aussi un outil qui, par sécurité, désactive Java chez ceux qui ne l'utilisent pas: en quoi ça va gêner ces (non-) utilisateurs ?

Reste le cas de 10.5 (qui honnêtement commence à se faire vieux et peu utilisé) pour lequel il n'y a plus de java récent disponible, donc de correctif.
Là c'est anti-malware et désactivation préventive uniquement. Ce qui là encore ne va pas gêner grand monde: les utilisateurs actifs de Java (et les devs) sont depuis longtemps passés à un Java récent donc forcément à 10.6/10.7.

ben100g a écrit:
je ne comprends pas qu'on désactive Flash quand une faille non patchée touche Java ? je ne comprends pas à quoi rime cette politique de sécurité ... les antivirus / antimalware sous Win ne désactivent/désinstallent pas des composants à l'origine d'une faille aux dernières nouvelles. C'est un peu comme si en période d'épidémie H5N1 on te dit de te vacciner contre la vache folle, ca ne rime à rien ^^

Non on désactive pas Flash, mais des vieilles versions de Flash dangereuses car truffés de failles.
Mettre un antivirus pour surveiller ce qui sort de ces trous n'est pas une solution. Puisque tu aimes bien les analogies je dirais que c'est comme rajouter des bassines plus grandes plutôt que de réparer les fuites du toit.

C'est donc aux gens qui font les OS et les plugins de boucher leurs failles, et pas de prier que l'utilisateur ait un bon antivirus.

Catstom a écrit:
Java n'est pas installé par défaut sur Windows et encore heureux d'ailleurs. C'est une vraie daube, plus gourmand en lent que ca on peut pas trouver....

Oui je comprends donc pas pourquoi certains nous font tout un foin sur la désactivation de Java sur Mac, et encore chez ceux qui ne l'utilisent pas, quand chez MS il n'y en a tout simplement pas d'origine.
Y'en a vraiment qui aiment polémiquer sur rien...

Startide a écrit:
Teetwe > au moins on parle de la news, pas comme toi qui te contente d'une attaque personnelle sans intérêt...

---

(et injustifiée pour le coup par ailleurs).

---

Franck a écrit:
Apple désactive les versions de Flash non patchées, obligeant l'utilisateur à utiliser une version sans cette faille

Enfin désactiver via un patch des outils que les gens ont déjà pas patché... Je sais pas si ca va être efficace, non ? comment ca marche sous Mac OS les mises à jour, c'est comme windows update qui te casse les burnes jusqu'à ce que tu télécharges et reboot le PC (quand nécessaire) ?

Ou c'est moins contraignant (et du coup les gens le font pas ?) ?

Autant rien dire que cracher sans arrêt sur la même entreprise par jalousie
Edité le 15/05/2012 à 12:18

ben100g a écrit:
un OS sans java ni flash ... c'est pas super pour le web ^^ je ne comprends pas que lors d'une faille de sécurité d'un composant logiciel, faille pour lequel il existe un patch (que Apple n'a pas voulu diffuser), on supprime le composant (au lieu de le patcher) ? je ne comprends pas qu'on désactive Flash quand une faille non patchée touche Java ? je ne comprends pas à quoi rime cette politique de sécurité ... les antivirus / antimalware sous Win ne désactivent/désinstallent pas des composants à l'origine d'une faille aux dernières nouvelles. C'est un peu comme si en période d'épidémie H5N1 on te dit de te vacciner contre la vache folle, ca ne rime à rien ^^

Donc en gros, tu n'as rien pigé.

Apple supprime Java d'OSX pour en laisser la gestion à Oracle, tout comme cela se fait sur Windows. Les patchs de sécurité seront désormais émis directement par Oracle, ce sera donc plus rapide. Apple admet ainsi ne pas être à la hauteur concernant Java.

Pour Flash, c'est pareil : auparavant, Flash était installé par défaut sur OSX. Le public faisait alors l'amalgame "faille de flash =>Apple coupable". Dorénavant, c'est Adobe qui gère Flash, tout comme sur Windows. De plus, certains malwares utilisent des failles d'anciennes versions de Flash. Pour éviter cela, la version de Flash non mise à jour est désactivée. Si l'utilisateur a besoin de Flash, il est invité à installer Flash. Il aura donc la dernière version. C'est plutôt une bonne chose. Ce n'est pas non plus à Apple de corriger les failles de Flash, faut pas non plus déconner...

Startide a écrit:

---

Franck a écrit:
Apple désactive les versions de Flash non patchées, obligeant l'utilisateur à utiliser une version sans cette faille

Enfin désactiver via un patch des outils que les gens ont déjà pas patché... Je sais pas si ca va être efficace, non ?

Oui ça sera efficace:
-Pour Flash il faut comprendre qu'il n'est pas pas dans les mises à jour système. Et qu'en plus "dans le temps" Adobe n'avait pas de système de MAJ automatique intégré. Bref c'était très facile d'échapper -même involontairement- aux MAJ de Flash.
-Pour Java, il est intégré aux updates d'Apple. Mais si elle tarde à venir, ou qu'on est sur un vieil OS avec un Java plus entretenu, il y a un risque. Là Apple a préféré mettre de côté Java chez les utilisateurs non-avertits qui de toute façon ne doivent même pas savoir ce qu'est Java.

Startide a écrit:
comment ca marche sous Mac OS les mises à jour, c'est comme windows update qui te casse les burnes jusqu'à ce que tu télécharges et reboot le PC (quand nécessaire) ?

Ou c'est moins contraignant (et du coup les gens le font pas ?) ?

Comme je le disais au dessus c'est même pas un problème de contrainte, mais plutôt d'Adobe qui prenait la sécurité de son plugin à la légère en ne proposant aucun dispositif de MAJ automatique (là heureusement depuis peu ils se rattrapent), et d'une cogestion de Java entre Oracle et Apple qui était peu efficace.

Quand aux MAJ d'OS X, il n'y a aucune installation forcée ni reboot obligatoire. Par défaut le comportement de l'OS est juste de télécharger les fichiers d'update et de proposer leur installation quand ils sont dispo. iOS non plus ne force pas l'utilisateur.

Depuis la mort de Steve Jobs tout part en vrille.

Eno-26, dans 2 ans, apple est mort

Franck : mon cerveau va bien .. toi tu ne sais pas lire, c'est justement ce que je cherchais à comprendre comment 2 problèmes distincts pouvaient être géré de la même manière tu ne réponds pas comme d'hab, c'est LVDM qui apporte la réponse.
Teetwe : retourne te coucher .. tu sers à rien ^^ des fannatiques de la pomme il y en a à la pelle ici comme ailleurs
LVDM : merci, tu es le seul à m'avoir répondu au final ... il y a donc plusieurs versions de java en cours (en fonction de la version de macos) et Apple après avoir voulu tout contrôllé se rend compte qu'ils font mieux de remettre la gestion de la sécurité des addons/logiciels tiers à leurs éditeurs respectifs... c'est un changement dans leur politique qui est positif pour les utilisateurs je trouve. Tout le tintouin autour de Flash pour finalement 3 ans plus tard "forcer" les utilisateurs à utiliser une version à jour, c'est pas mal ... ils ont mis le temps avant de trouver une solution qui respecte les utilisateurs dans leur utilisation de l'outil (et leur volonté de tout contrôller).
Petite question est-ce qu'il y a bcp de gens qui utilisent exclusivement macos sur leur mac (sans bootcamp)? parce qu'il y a des limites aussi à de déresponsabiliser de la sécurité de sa plateforme (son os et ses outils tels bootcamp)...
Je ne pense pas confondre Java et Javascript ... bcp des sites qu'on utilise en interne (financiers) sont basés sur des applets java ET du javascript, pour Flash on ne va pas refaire le débat, mais à mes yeux il est impensable qu'un éditeur d'os me dise ce que je dois utiliser ou pas ...
Par ailleurs je pensais que les problèmes de fragmentation ne touchaient pas Apple on a l'air d'être en plein dedans pourtant (pas de java patché pour la 10.5 uniquement...). Finalement ta tirade sur les antivirus se discute également ... disons qu'un bon antivirus va aussi s'attacher au comportement et va compléter la sécurité des éditeurs de logiciels... c'est bien d'avoir du comportemental au niveau de l'os ca permet d'être pro-actif.. l'info est truffé d'exemple où les failles sont découvertes bien après avoir été exploitées (la majorité même)... ton analogie avec les bassines est justement bonne, sachant que tu peux avoir des trous nimporte ou et nimporte quand autant prévoir des bassines un peu plus larges ... il y a la réactivité mais aussi la proactivité qui est tout aussi importante, non ?

Ramses, si je pense avoir bien pigé ... tu dis ce que je voulais entendre : Apple se désengage de la sécurité de ces 2 produits, après avoir voulu (et pensé être capable de) tout contrôller, ils se rendent compte finalement de leur "incompétence" (relative) et de l'exposition de leur système aux menaces actuelles..

NB : on peut être moins intelligent que des milliers d'ingénieurs ... mais ne pas être pollué par une "politique" une "stratégie" d'entreprise qui fait que tout ce qu'on produit aussi bon soit-il est au final mauvais ....

Disons qu'ils se dirigent vers un fonctionnement "à la Windows", et c'est pas plus mal.

ben100g a écrit:

Teetwe : retourne te coucher .. tu sers à rien ^^ des fannatiques de la pomme il y en a à la pelle ici comme ailleurs

A voir il y a bien plus de Haters.

Les produits Apple me vont très bien merci, je suis pas fanatique pour autant.