Google révèle une faille très sérieuse dans macOS

Bastien Contreras
04 mars 2019 à 18h42
13
macos mojave

Les experts en cybersécurité de Google ont rendu publique une faille de sécurité présente dans le noyau de macOS. Cette vulnérabilité, considérée comme « très sévère », a d'abord été communiquée à Apple, qui ne l'a pas encore corrigée.

La découverte du bug a été effectuée par les chercheurs en sécurité informatique du Project Zero, de Google. Le but de cette équipe est de traquer les vulnérabilités « zero-day », c'est-à-dire celles n'ayant pas encore fait l'objet d'une exploitation ou d'une correction.

Le noyau XNU au cœur du problème

Cette fois-ci, c'est le système d'exploitation d'Apple macOS qui a été pointé du doigt par les experts de Google. Ou plus précisément son noyau hybride, XNU. Le problème vient du mécanisme de copie sur écriture, ou copy-on-write (COW). Celui-ci permet de créer des copies de ressources partagées par différents processus, afin d'optimiser la mémoire utilisée.

Mais ce procédé semble souffrir d'une implémentation imparfaite dans macOS. Les experts de Project Zero se sont en effet aperçus qu'il était possible de modifier une image système sans que le sous-système de gestion n'en soit informé. Cela signifie notamment qu'un individu malveillant pourrait en profiter pour corrompre un fichier, sans entraîner d'alerte.

Le délai de 90 jours écoulé

Conformément à sa politique, l'équipe Project Zero a commencé par avertir Apple de cette vulnérabilité, en novembre dernier. Elle a alors laissé à la firme un délai de 90 jours pour résoudre le problème. Le laps de temps étant écoulé, elle a décidé de rendre publique la faille de sécurité, dans la catégorie « sévérité élevée », afin que les utilisateurs puissent prendre les mesures nécessaires.

Cependant, si Apple n'a pas encore corrigé la vulnérabilité, l'entreprise travaille avec les experts de Project Zero pour y parvenir. Les deux entités ont entamé une collaboration, qui devrait aboutir prochainement à la publication d'un patch de sécurité.

Source : Neowin
Bastien Contreras

Bastien Contreras

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autr...

Lire d'autres articles

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autres surprises, que vous pourrez découvrir à travers mes articles... Et je suis là aussi si vous voulez parler actu sportive, notamment foot. Pour ceux qui ne connaissent pas, c'est comme du FIFA, mais ça fait plus mal aux jambes.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (13)

Metaphore54
"Conformément à sa politique, l’équipe Project Zero a commencé par avertir Apple de cette vulnérabilité, en novembre dernier. Elle a alors laissé à la firme un délai de 90 jours pour résoudre le problème. Le laps de temps étant écoulé, elle a décidé de rendre publique la faille de sécurité, dans la catégorie « sévérité élevée », afin que les utilisateurs puissent prendre les mesures nécessaires. "<br /> Si google commence à faire des exceptions, tout le monde va en demander et après il n’y aura plus de publication de google sur ce sujet.
BetaGamma
L’arrogance de Google est insupportable
Al_Jardine
Ça veut dire quoi au juste… une faille très « sérieuse » ? Une faille qui refuse de se fendre la gueule…?
Benji
La politique de Google est de 90 jours mais là il collabore exceptionnellement
Benji
Enfaite vous comprenez pas quoi Google (Project Zéro) a une politique . Si au bout de 90 jour ces pas corrigé il la montre . Il y en a qu’il comprenne pas . Puis avant de cracher sur Google comme ça rappelez vous qu’il trouve certainement les failles qui font le plus de bruit genre spectre par exemple
Benji
Enfaite vous comprenez pas quoi Google (Project Zéro) a une politique . Si au bout de 90 jour ces pas corrigé il la montre . Il y en a qu’il comprenne pas . Puis avant de cracher sur Google comme ça rappelez vous qu’il trouve certainement les failles qui font le plus de bruit genre spectre par exempl
Popoulo
Tu as confondu Apple et Google dans ta phrase.
TNZ
L’incompétence d’Apple l’ai tout autant.
twist_54
Très simple, si tu n’appliques pas la menace des 90 jours les sociétés en générales traîneront la patte/ne mettront pas les moyens pour corriger au plus vite le problème.<br /> Je suis prêt à parier qu’avant le délai de 90 jours 4 ingénieurs Apple étaient sur le coup pensant que soit le problème serait résolu à temps soit que Project Zero accorderait un délai. Maintenant que l’info fuite, ils vont en mettre 50 sur le coup.
dredd
T’as raison, laisser le champs libre au hackers malveillants et se contenter de l’apathie des grosses boites quant à leur propres failles est une meilleur option. Bon c’est pas tout ça mais je vais enfiler mon bandeaux sur les yeux et traverser en courant l’énorme carrefour en bas de l’immeuble, ça va me détendre.
nrik_1584
La même chose qu’un problème sérieux (ou sérieux problème c’est selon).<br /> En gros ça ne prête pas du tout à rire voir peut être inquiétant.
nrik_1584
Fais le plutôt en moonwalk c’est plus marrant.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Une faille dans les processeurs Silicon d'Apple menace le chiffrement des données Une faille dans les processeurs Silicon d'Apple menace le chiffrement des données
Xbox Gaming : une faille de sécurité à la gravité jugée Xbox Gaming : une faille de sécurité à la gravité jugée "importante" découverte dans le service de Microsoft
Des hackers ont réussi à cloner les cartes d’accès pour 3 millions de chambres d’hôtel Des hackers ont réussi à cloner les cartes d’accès pour 3 millions de chambres d’hôtel
Google Chrome : plusieurs vulnérabilités jugées sérieuses détectées, voici ce qu'il faut faire pour être en sécurité Google Chrome : plusieurs vulnérabilités jugées sérieuses détectées, voici ce qu'il faut faire pour être en sécurité
Google Chrome commence bien l'année en corrigeant un bug critique Google Chrome commence bien l'année en corrigeant un bug critique
En Espagne, le réseau d’Orange mis à genoux à cause d’un mot de passe ridiculement peu sécurisé En Espagne, le réseau d’Orange mis à genoux à cause d’un mot de passe ridiculement peu sécurisé