Vingt failles de sécurité corrigées dans Mac OS X

Cloud

Apple a rapidement réagi aux vulnérabilités récemment découvertes sur son système d’exploitation en proposant un correctif global.

Apple a publié une mise à jour de sécurité qui colmate une vingtaine de failles de son système d’exploitation Mac OS X et des applications associées.

Ces dernières semaines, différents virus ciblant la plate-forme d’Apple ont fait leur apparition (voir notamment édition du 16 février 2006), tandis que les experts en sécurité découvraient une faille critique sur le système d’exploitation de la firme. « La mise à jour corrige la vulnérabilité de Safari et celle exploitée par le ver Leap-A », a déclaré un porte-parole d’Apple à VNUnet.com.

Safari se refait une santé

La faille de Safari, découverte la semaine dernière par le chercheur allemand Michael Lehn, autorise un assaillant à exécuter un code arbitraire sur un système Mac équipé du navigateur, via une page Web dédiée à cet effet. La mise à jour d’Apple corrige une autre vulnérabilité, en lien direct avec celle-ci, qui affecte la manière dont le système d’exploitation décompresse et exécute les métadonnées de certains types d’archives. Elle peut être exploitée en association avec la vulnérabilité de Safari ou en persuadant un utilisateur d’ouvrir un e-mail contenant un fichier archive trafiqué.

Le correctif modifie également certains paramètres de sécurité de Mac OS X afin de protéger les utilisateurs contre les différents vers découverts en janvier, notamment Leap-A. Ce dernier se propage via la messagerie instantanée iChat d’Apple en envoyant un fichier corrompu à tous les correspondants présents dans la liste de contacts, même si un message d’avertissement les prévient qu’ils téléchargent un type de fichier non sécurisé ou inconnu. Cette fonction est aussi utilisée dans l’application Mail mais les pirates ont la possibilité de camoufler le type de fichier afin d’outrepasser cette vérification. Ce point faible est cependant corrigé par la mise à jour.

Mise à jour automatique ou téléchargement

D’autres failles de moindre importance ont été colmatées, notamment une vulnérabilité de Directory Service permettant à un simple utilisateur de créer et manipuler des fichiers en tant qu’administrateur. Des pirates auraient également pu lancer une attaque par déni de service contre des réseaux privés virtuels en utilisant une faiblesse du système d’exploitation vis-à-vis d’IPSec.

Les utilisateurs peuvent installer le correctif global directement via le système de mise à jour automatique de Mac OS X ou bien le télécharger sur le site d’Apple.

(Traduction d’un article de VNUnet.com en date du 2 mars 2006)