Selon les chercheurs en sécurité, Apple n’aurait pas réussi à corriger totalement l’erreur d’empoisonnement de cache DNS qui affecte son système d’exploitation.
L’éditeur a publié le correctif la semaine dernière dans le cadre d’une mise à jour de sécurité. La faille Kaminsky (du nom du chercheur qui l’a découverte, Dan Kaminsky) a provoqué un mouvement de panique chez l’éditeur afin de corriger rapidement ce qui était présenté comme une vulnérabilité majeure du système DNS (qui gère la traduction des adresses web en adresses IP).
Selon Andrew Storms, directeur de sécurité du spécialiste en sécurité réseau nCircle, le correctif d’Apple ne serait pas parfaitement efficace. La mise à jour ne rend pas aléatoire l’attribution des ports sources pour les bibliothèques clientes, ce qui est pourtant essentiel pour prévenir les attaques fantômes.
Le chercheur estime en effet que si le composant serveur de l’erreur est bien corrigé, les machines clientes demeurent vulnérables. « Pour Apple, il est plus important de corriger les bibliothèques clientes puisque les serveurs récursifs OSX utilisés ne constituent qu’une minorité », fait-il remarquer. « Résultat : malgré cette mise à jour, il apparaît que certaines bibliothèques clientes sont encore vulnérables. »
Andrew Storms n’est pas le seul à avoir remarqué l’erreur commise par Apple. La faille a également été pointée du doigt par Swa Frantzen, chercheur au Sans Institute. Selon lui, un système Leopard sur lequel on a installé tous les correctifs utilise encore une numérotation séquentielle des ports, ce qui rend la sélection des ports prévisible et permet à un pirate d’exploiter la faille d’empoisonnement du cache.
« En d’autres termes, Apple a certes corrigé les éléments les plus importants pour les serveurs, mais il est encore loin du compte puisque tous les clients utilisant une bibliothèque DNS attendent encore une solution pour corriger la faiblesse du protocole », explique-t-il.
Selon les chercheurs en sécurité, Apple n’aurait pas réussi à corriger totalement l’erreur d’empoisonnement de cache DNS qui affecte son système d’exploitation.
L’éditeur a publié le correctif la semaine dernière dans le cadre d’une mise à jour de sécurité. La faille Kaminsky (du nom du chercheur qui l’a découverte, Dan Kaminsky) a provoqué un mouvement de panique chez l’éditeur afin de corriger rapidement ce qui était présenté comme une vulnérabilité majeure du système DNS (qui gère la traduction des adresses web en adresses IP).
Selon Andrew Storms, directeur de sécurité du spécialiste en sécurité réseau nCircle, le correctif d’Apple ne serait pas parfaitement efficace. La mise à jour ne rend pas aléatoire l’attribution des ports sources pour les bibliothèques clientes, ce qui est pourtant essentiel pour prévenir les attaques fantômes.
Le chercheur estime en effet que si le composant serveur de l’erreur est bien corrigé, les machines clientes demeurent vulnérables. « Pour Apple, il est plus important de corriger les bibliothèques clientes puisque les serveurs récursifs OSX utilisés ne constituent qu’une minorité », fait-il remarquer. « Résultat : malgré cette mise à jour, il apparaît que certaines bibliothèques clientes sont encore vulnérables. »
Andrew Storms n’est pas le seul à avoir remarqué l’erreur commise par Apple. La faille a également été pointée du doigt par Swa Frantzen, chercheur au Sans Institute. Selon lui, un système Leopard sur lequel on a installé tous les correctifs utilise encore une numérotation séquentielle des ports, ce qui rend la sélection des ports prévisible et permet à un pirate d’exploiter la faille d’empoisonnement du cache.
« En d’autres termes, Apple a certes corrigé les éléments les plus importants pour les serveurs, mais il est encore loin du compte puisque tous les clients utilisant une bibliothèque DNS attendent encore une solution pour corriger la faiblesse du protocole », explique-t-il.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…