L'équipe Project Zero de Google semble particulièrement active ces derniers temps et trois nouvelles vulnérabilités affectant OS X ont été révélées.
Sur la liste de publication officielle de Google Security Research, les experts de Google ont partagé des détails concernant trois nouvelles vulnérabilités 0-Day, c'est à dire qu'elles n'ont précédemment fait l'objet d'aucune mention officielle, ni n'ont bénéficié de correctif.
La semaine dernière, Google avait divulgué des informations sur des failles affectant Windows 7 et 8.x. Microsoft, qui finalisait un patch pour l'une d'entre elles, avait pourtant demandé à Google de rester discret sur le sujet, mais le géant californien s'en tient à sa politique visant à n'attendre que 90 jours après avoir prévenu l'éditeur.
Cette fois, c'est donc l'OS d'Apple qui est concerné. La première vulnérabilité concerne networkd, un ensemble de processus fonctionnant en arrière-plan et permettant de les faire communiquer entre eux via le service XPC. Ce daemon ne serait pas protégé par un mode sandboxing lui assurant un meilleur niveau de sécurité.
Google décrit également une seconde faille au sein du framework I/O Kit permettant de développer des pilotes au sein du kernel d'OS X. Celle-ci permettrait d'exécuter du code malveillant en manipulant la gestion de la mémoire. Enfin, une troisième vulnérabilité affecterait une fois encore I/O Kit lorsqu'un périphérique Bluetooth est connecté.
Google met à disposition les informations nécessaires pour reproduire ces exploits. Les experts en sécurité ont prévenu Apple. De son côté, sur son site de support, la firme de Cupertino explique :
Dans un souci de protection de ses clients, Apple s'interdit de divulguer, d'aborder ou de confirmer l'existence de failles de sécurité tant qu'une enquête approfondie n'a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Apple distribue habituellement des renseignements relatifs aux problèmes de sécurité liés à ses produits par l'intermédiaire de son site Web et de la liste d'envoi ci-dessous.
Rappelons que, de son côté, Google n'entend pas corriger une vulnérabilité affectant WebView, l'un des composants principaux du système d'exploitation mobile qui permet d'afficher les pages Web jusqu'à Android Jelly Bean 4.3. Au regard des chiffres concernant l'adoption d'Android, cette faille affecterait actuellement 930 millions de terminaux. Retrouvez plus de détails sur cette page.
Guillaume Belfiore
Lead Software Chronicler
Lead Software Chronicler
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
