C’est une première pour les utilisateurs d’OS X : ils ont bénéficié d’un correctif de sécurité déployé de manière automatique.
Cette décision sans précédent, Apple l’a prise en réaction à la découverte, par Stephen Roettger (chercheur chez Google), d’une faille aujourd’hui répertoriée CVE-2014-9295 et qui concerne le Network Time Protocol. De son acronyme NTP, ce standard de communication synchronise les horloges entre les systèmes informatiques à travers le réseau. Il est communément exploité par des pirates dans le cadre d’attaques par déni de service (DoS, qui consistent à bombarder un serveur de requêtes pour le faire tomber).
Par un phénomène d’amplification, il est possible, pour l’assaillant, d’envoyer un volume de trafic jusqu’à huit fois supérieur aux capacités de la bande passante dont il dispose réellement. Ce type d’offensive par « réflexion NTP » inquiète tout particulièrement les spécialistes en sécurité.
La vulnérabilité mise au jour par Stephen Roettger touche toutes les versions de NTP antérieures à la 4.2.8. Elle permet, en saturant des zones mémoire, d’injecter du code malveillant et de prendre le contrôle d’une machine à distance.
OS X figure sur la liste des systèmes d’exploitation affectés. En conséquence, Apple a publié, sur sa page de support, un patch pour toutes les moutures à partir de la 10.8.5 « Mountain Lion ». Traditionnellement, c’est aux utilisateurs de télécharger la mise à jour. Mais pour la première fois, « la marque à la Pomme » a décidé de l’appliquer automatiquement.
Comme le note Silicon.fr, le correctif reste accessible manuellement, dans la section « updates » du Mac App Store. Dans tous les cas, il convient de l’installer au plus vite, d’autant plus qu’aucune action supplémentaire – comme un redémarrage – n’est requise.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les technologies Apple ?
Crédit photo : TungCheung – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…