Dans certains domaines, Apple prend visiblement son temps. En particulier dans la correction des failles critiques de Mac OS X, comme le démontrent les chercheurs de Security Reason. La faille qu'ils viennent de dévoiler aurait été signalée à Apple voici... sept mois.
Grâce à un buffer overflow de la fonction libc/strtod (fonction de conversion de chaînes de caractères en nombre réel), cette vulnérabilité permet à une personne malintentionnée de réaliser un crash de la machine, éventuellement à distance. Un exemple de code exploitant cette faille est disponible en ligne. Selon The Register, les chercheurs ont, en réalité, déjà communiqué cette vulnérabilité à Apple il y a près de sept mois, sans que le constructeur ne réagisse. Alors que cette même faille a déjà été corrigée depuis longtemps dans OpenBSD, NetBSD et FreeBSD. Conclusion des chercheurs : Apple ne doit tenir compte des failles que lorsqu'elles sont réellement exploitées. Car c'est bien connu, il n'y a pas de fumée sans feu.
Auteur : Gilbert Kallenborn, 01net.
Sur le même sujet : " Mac OS X : Apple à la traine pour corriger une faille " par Christophe Laporte, www.macgeneration.com
Continuer avec Linkedin