Google révèle une faille très sérieuse dans macOS

le 04 mars 2019 à 18:42
 0
macos mojave

Les experts en cybersécurité de Google ont rendu publique une faille de sécurité présente dans le noyau de macOS. Cette vulnérabilité, considérée comme « très sévère », a d'abord été communiquée à Apple, qui ne l'a pas encore corrigée.

La découverte du bug a été effectuée par les chercheurs en sécurité informatique du Project Zero, de Google. Le but de cette équipe est de traquer les vulnérabilités « zero-day », c'est-à-dire celles n'ayant pas encore fait l'objet d'une exploitation ou d'une correction.

Le noyau XNU au cœur du problème


Cette fois-ci, c'est le système d'exploitation d'Apple macOS qui a été pointé du doigt par les experts de Google. Ou plus précisément son noyau hybride, XNU. Le problème vient du mécanisme de copie sur écriture, ou copy-on-write (COW). Celui-ci permet de créer des copies de ressources partagées par différents processus, afin d'optimiser la mémoire utilisée.

Mais ce procédé semble souffrir d'une implémentation imparfaite dans macOS. Les experts de Project Zero se sont en effet aperçus qu'il était possible de modifier une image système sans que le sous-système de gestion n'en soit informé. Cela signifie notamment qu'un individu malveillant pourrait en profiter pour corrompre un fichier, sans entraîner d'alerte.

Le délai de 90 jours écoulé


Conformément à sa politique, l'équipe Project Zero a commencé par avertir Apple de cette vulnérabilité, en novembre dernier. Elle a alors laissé à la firme un délai de 90 jours pour résoudre le problème. Le laps de temps étant écoulé, elle a décidé de rendre publique la faille de sécurité, dans la catégorie « sévérité élevée », afin que les utilisateurs puissent prendre les mesures nécessaires.

Cependant, si Apple n'a pas encore corrigé la vulnérabilité, l'entreprise travaille avec les experts de Project Zero pour y parvenir. Les deux entités ont entamé une collaboration, qui devrait aboutir prochainement à la publication d'un patch de sécurité.

Source : Neowin
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Le système permet de faire lien entre différentes affaires criminelles afin d’obtenir une liste de suspects potentiels. Les défenseurs des libertés civiles s’inquiètent d’une utilisation discriminatoire de cet outil.
Abordables, performants, régulièrement mis à jour : les smartphones Xiaomi ont de beaux atouts à faire valoir. Ils ont aussi l’énorme avantage d’être facilement modifiables via le root et des ROM modifiées. Ces dernières manipulations deviennent d’ailleurs d’une simplicité enfantine grâce à l’outil XiaoMiTool v2 récemment lancé sur XDA.
Le chef de produit moniteurs de la marque sud-coréenne, Christophe Partridge, détaille pour Clubic les grandes caractéristiques des trois nouveaux écrans Samsung.
24/03 | Écran PC
La rumeur indiquant que Huawei travaille sur deux nouvelles montres connectées semble se vérifier un peu plus aujourd'hui.
Il a étonné autant qu’effrayé les badauds qui s’y sont confrontés : l’énorme Energizer Power Max P18K Pop se cherche un financement pour exister au-delà de sa preuve de concept.
24/03 | Smartphone
Windows Defender ATP devient Microsoft Defender ATP, et se paie en conséquence une sortie sur macOS pour aider les entreprises à renforcer leur sécurité informatique.
24/03 | Mac OS
Annoncée en janvier dernier, la refonte visuelle de Steam est en bonne voie, comme en témoignent les premiers visuels publiés par Valve à l’occasion de la GDC.
24/03 | Steam
Le fabricant chinois Niu lance en France le U-Pro, son scooter électrique connecté et poids plume taillé pour les citadins.
Le 25 mars prochain, la marque à la pomme dévoilera au monde entier son service de presse intitulé Apple News. Il permettra aux abonnés d'accéder instantanément et en illimité à un large catalogue de magazines et autres journaux des quatre coins du globe. Si l'initiative semble prometteuse, elle fait déjà grincer des dents les patrons de plusieurs grands groupes.
24/03 | Apple
Annoncée par Corsair en janvier à l’occasion du CES 2019 avec deux autres souris, les Harpoon et Ironclaw RGB, la M65 RGB Elite n’est ni plus ni moins qu’une Vengeance M60 revisitée au goût du jour profitant d’un capteur optique de nouvelle génération, d’une petite cure d’amaigrissement ainsi que d’un très léger relooking (mais surtout du RGB).
24/03 | Souris
Le navigateur Chrome va permettre dans les prochaines semaines d’accéder à des documents présents sur son espace de stockage personnel directement depuis le champ de recherche.
24/03 | Google drive
27 entreprises devraient être redevables de la taxe française des géants du numérique chère à Bruno Le Maire.
24/03 | GAFAM
Imaginé par l'autorité sanitaire américaine, le jeu vidéo One Leaves vise à exposer les dangers du tabac aux (jeunes) joueurs, et à les faire arrêter de fumer.
23/03 | Jeux vidéo
Avec bientôt cinq saisons au compteur, la série Peaky Blinders est devenu un véritable phénomène, et c'est donc sans surprise qu'on apprend qu'elle aura droit à son adaptation en jeu vidéo prochainement. S'il va falloir attendre encore un peu avant d'en apprendre plus sur le contenu du titre, nous savons déjà quels studios auront la lourde tâche de porter la licence sur consoles et PC.
La multiplication des plates-formes de téléchargement de jeux sur PC pose un certain nombre de problèmes. Parmi les plus épineux, la nécessité d’installer le lanceur spécifique à chaque plate-forme récolte la majorité des suffrages.
23/03 | Steam
scroll top