IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Mac OS X Discussion :

Une nouvelle vulnérabilité vient d’être découverte sur MacOS


Sujet :

Mac OS X

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 249
    Points
    66 249
    Par défaut Une nouvelle vulnérabilité vient d’être découverte sur MacOS
    Une nouvelle vulnérabilité vient d’être découverte sur MacOS
    elle permettrait de compromettre l'entièreté du système d’exploitation

    En novembre 2017, une vulnérabilité avait été découverte sur macOS High Sierra par le développeur turc Lemi Ergin. Elle permettait de se connecter en tant que root sur un Mac sans mot de passe et sans aucune vérification de sécurité. Et elle fonctionnait aussi bien avec les Mac déverrouillés qu’avec les Mac verrouillés. Presque un an plus tard, une nouvelle vulnérabilité vient d’être découverte sur macOS. Il s’agit d’une faille zero-day qui pourrait potentiellement permettre à un attaquant de compromettre tout le système d’exploitation.

    Nom : macOS.jpg
Affichages : 12799
Taille : 23,2 Ko

    La vulnérabilité a été découverte par Patrick Wardle, directeur de la recherche de Digita Security et ancien hacker au service de la NSA. Elle provient des fonctionnalités d'accessibilité permettant aux utilisateurs d'interagir avec tout composant de l'interface utilisateur, y compris les messages de dialogue de sécurité, grâce à des clics virtuels (les événements synthétiques). Bien qu'en théorie, elles soient conçues pour aider les personnes handicapées, elles permettent également aux utilisateurs de cliquer sur les invites de sécurité et de charger les extensions du noyau. Un pirate pourrait également s’en servir pour contourner l’invite d’accès au trousseau et extraire les mots de passe. En un seul clic, d'innombrables mécanismes de sécurité peuvent donc être complètement ignorés, rendant ainsi vulnérable le système d'exploitation.

    Après sa découverte, l’ex-hacker de la NSA a conduit une attaque basée sur cette faille. Et cette attaque a été menée avec succès sur un macOS équipé des derniers correctifs. « Ce bogue a permis de contourner la fonction de sécurité "User-Approved Kext" d'Apple, de supprimer tous les mots de passe du trousseau, de contourner les outils de sécurité tiers et bien plus encore. Et comme le patch d'Apple était incomplet, nous nous retrouvons avec une faille zero-day qui permet à un code non privilégié de poster des événements synthétiques et de contourner divers mécanismes de sécurité », a-t-il déclaré.

    Apple a apporté un correctif à cette faille dans sa dernière version bêta de macOS Mojave. L’entreprise a complètement supprimé certains événements synthétiques et l'utilisateur peut aussi désactiver ou bloquer certaines fonctionnalités légitimes pour empêcher que des options de sécurité soient activées par des clics virtuels.

    Sources : Speaker Deck, NIST

    Et vous ?

    Qu’en pensez-vous ?
    Quelles autres solutions proposeriez-vous contre cette faille ?

    Voir aussi

    Une faille de sécurité de macOS High Sierra permet de se connecter en tant que root sans mot de passe, mais il existe un moyen de la contourner

    Le RAT Coldroot, qui cible macOS, est resté indétectable par les solutions AV, alors que son code a été publié sur GitHub depuis deux ans déjà

    Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : apple note la dépréciation d'OpenGL et OpenCL

    macOS : un bogue affectant le système de fichiers APFS pourrait causer des pertes de données d'après Mike Bombich

    L'API pour les captures d'écran sur macOS pourrait être exploitée pour voler des mots de passe et autres informations sensibles, rapporte Felix Krause
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Futur Membre du Club
    Homme Profil pro
    Consultant en technologies
    Inscrit en
    Juin 2018
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant en technologies

    Informations forums :
    Inscription : Juin 2018
    Messages : 4
    Points : 5
    Points
    5
    Par défaut MacOS Mojave
    Des infos sur la date de sortie de la nouvelle version de MacOS ?

  3. #3
    Responsable Systèmes


    Homme Profil pro
    Gestion de parcs informatique
    Inscrit en
    Août 2011
    Messages
    17 348
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Gestion de parcs informatique
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Août 2011
    Messages : 17 348
    Points : 42 815
    Points
    42 815
    Par défaut
    Mac OS 10.14 Mojave est prévu pour cet automne.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur le P2V, mon article sur le cloud
    Consultez nos FAQ : Windows, Linux, Virtualisation

  4. #4
    Membre émérite

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2013
    Messages
    1 056
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Conseil

    Informations forums :
    Inscription : Octobre 2013
    Messages : 1 056
    Points : 2 559
    Points
    2 559
    Par défaut
    Ca va être encore la faute des handicapés

    Plus sérieusement l'accessibilité peut affaiblir la sécurité car elle propose des raccourcis ou des façons de faire plus simple, par exemple les catchas audios en remplacement des catchas images.
    Et les catchas audios sont plus à la portée des machines.
    Sur les sites bancaires les claviers aléatoires à base d'images ne peuvent pas être accessibles et sont remplacé par des liens discrets, dans les meilleurs des cas, par des versions adaptées.

    Ils sont moins sûrs, car ce qui est accessible aux outils d'assistance est accessible aux programmes mal-veillants.

    Mais le vrai problème, à mon avis, Est aussi que les fonctions d'accessibilités sont souvent bâclés et pas assez testées.
    C'est aussi que ça ne représente pas beaucoup d'utilidateurs
    Consultez mes articles sur l'accessibilité numérique :

    Comment rendre son application SWING accessible aux non voyants
    Créer des applications web accessibles à tous

    YES WE CAN BLANCHE !!!

    Rappelez-vous que Google est le plus grand aveugle d'Internet...
    Plus c'est accessible pour nous, plus c'est accessible pour lui,
    et meilleur sera votre score de référencement !

Discussions similaires

  1. Une faille zero day vient d’être découverte dans le noyau Linux
    Par Olivier Famien dans le forum Sécurité
    Réponses: 8
    Dernier message: 11/06/2016, 08h11
  2. Réponses: 1
    Dernier message: 25/05/2011, 14h06
  3. Réponses: 0
    Dernier message: 25/05/2011, 12h25
  4. Réponses: 3
    Dernier message: 24/12/2009, 09h37
  5. Réponses: 11
    Dernier message: 19/02/2007, 10h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo