Une faille béante sur les Mac récents — Apple

01 Décembre, 2017, 11:19 | Auteur: Lynn Cook
  • Une faille béante sur les Mac récents — Apple

Quelques heures plus tard, une mise à jour officielle (Security Update 2017-001) a finalement été déployée.

Les ordinateurs Apple fonctionnant sous la dernière version du système d'exploitation Mac OS High Sierra (10.13.1) sont touchés par un important problème de sécurité. Ce bug pourrait être exploité sur l'écran de connexion d'un Mac verrouillé -même après un redémarrage - s'il a été utilisé auparavant, et dans certains cas à distance si un utilisateur a activé le partage d'écran. En principe, tu n'as jamais besoin de ton utilisateur "root". Le bug avait été rendu public sur Twitter par un développeur turc du nom de Lemi Orhan Ergin. Are you aware of it @Apple? Une fois la procédure terminée, la machine ne sera plus vulnérable. Car avec cette faille la root est ouverte à tous. Mais en fouillant dans le fichier fourni par Apple, on peut voir qu'il ne s'agit pas d'une erreur et que cette version inclut un script qui fait le nécessaire pour réparer la fonction Partage de fichiers.

Exploiter ce bug gravissime est particulièrement trivial. En parallèle, la firme a également proposé une solution temporaire à ses utilisateurs, une solution visant à définir un mot de passe pour le compte incriminé.

Numerama précise que Snowden s'est exprimé sur Twitter afin de faire comprendre l'ampleur du problème: "Imaginez une porte fermée à clé, mais si vous continuez à appuyer sur la poignée, elle dit 'bon, très bien' et vous laisse entrer sans clé ".

Une faille béante sur les Mac récents — Apple
Une faille béante sur les Mac récents — Apple

Apple a indiqué corriger la faille de sécurité dans une prochaine mise à jour.

Apple a réagi dans un communiqué, en affirmant qu'un correctif était en cours de développement, sans donner de date de disponibilité.

- Choisissez le menu Pomme Préférences système, puis cliquez sur Utilisateurs et groupes (ou Comptes). A la demande d'authentification un simple nom d'utilisateur " Root " sans mot passe accompagner de plusieurs validations permettait alors d'acquérir les pleins pouvoirs en clair les droits d'administrateurs.

Recommande: