Google divulgue trois failles dans OS X

Qui ont été répertoriées comme étant sévères

Non satisfaits d’avoir déjà révélés à plusieurs reprises des failles zero-day dans Windows, les ingénieurs de l’équipe de sécurité de Google récidive en s’attaquant cette fois-ci aux failles dans le système d’exploitation OS X d’Apple. Dans leurs collimateurs figurent trois failles qui ont été répertoriées comme étant sévères.

La première concerne NetworkD, un ensemble de processus fonctionnant en arrière-plan et permettant de les faire communiquer entre eux via le service XPC qui ne serait pas protégé par un mode sandboxing lui assurant un meilleur niveau de sécurité. La seconde se trouve au niveau de l’exécution du code au sein du kernel du framework I/O kit d’OS X à cause d’un pointeur NULL déréférencé dans IntelAccelerator. La troisième et dernière vulnérabilité qui concerne également le kernel du framework I/O kit d’OS X qui serait victime d’une corruption de sa mémoire à cause d’un mauvais paramétrage de la fonction bzero (qui sert à écrire des octets de valeur zéro dans un bloc d’octets) dans la classe IOBluetoothDevice (une instance de cette classe représente un seul dispositif télécommandé par la technologie Bluetooth).

Bien que chaque faille nécessite que la personne qui initie une attaque ait accès à un Mac ciblé, chaque vulnérabilité pourrait contribuer à faire croitre la probabilité de réussite d’une tentative d'élévation des niveaux de privilèges et de contrôle d’une machine. Chaque divulgation de vulnérabilité, comme l’avaient fait les ingénieurs Google faisant partie du Project Zero pour celles qui ont été trouvé sur le système d’exploitation de Microsoft, s’accompagnait d’un exploit visant à en apporter la preuve.

Les vulnérabilités ont été signalées à Apple, mais les failles n’ont pas été corrigées. Une fois que la date limite des 90 jours observée par les ingénieurs est passée, les détails sur les vulnérabilités trouvées dans les systèmes ont été automatiquement rendus disponibles au public.

« Afin de protéger ses clients, Apple s'interdit de divulguer, d'aborder ou de confirmer l'existence de failles de sécurité tant qu'une enquête approfondie n'a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Apple distribue habituellement des informations relatives aux problèmes de sécurité liés à ses produits par l'intermédiaire de son site Web ainsi que par une liste de diffusion » a écrit Cupertino sur sa page liée à la sécurité.

Ce n’est pas la première fois que les ingénieurs du Project Zero de Google ont publié des informations sur des vulnérabilités qui n’ont pas encore reçu de correctif : au cours des dernières semaines, l'équipe de sécurité a publié trois failles de sécurité dans le système d'exploitation Windows de Microsoft qui n’étaient alors pas encore corrigées.

Source : première faille, seconde, troisième, Apple