Vulnérabilités
Festival de vulnérabilités pour MacOS X
Par Jerome Saiz, le 21 avril 2006 à 22:15:00.
Attention aux sites malicieux, méfiez-vous des images GIF, TIFF et BMP, n'ouvrez pas les archives ZIP... on croirait lire une alerte pour Windows. C'est pourtant MacOS X qui est concerné par cette impressionnante série de vulnérabilités. Elles sont jugées extrêmement critiques et pourraient permettre la prise de contrôle du Mac, bien que pour l'instant seuls des dénis de service soient démontrés. Aucun correctif n'est disponible à ce jour.
Si l'on y prend pas garde, l'alerte publiée par le site Secunia pourrait passer pour le quotidien d'Internet Explorer ou de Windows. On y trouve des vulnérabilités exploitables à la lecture d'images aux formats GIF, TIFF et BMP, à la lecture de balises HTML piégées et à l'ouverture d'archives ZIP malformées. C'est pourtant d'OS X qu'il s'agit, dans sa toute dernière version (10.4.6).
Découvertes par le prolifique Tom Ferris, de Security Protocols, ces vulnérabilités permettent au moins de faire crasher le navigateur Safari ou le Finder (l'Explorateur) du Mac. Mais selon Tom Ferris l'exécution de code n'est pas exclue pour autant. Le découvreur fourni d'ailleurs plusieurs exemples de code d'exploitation (pour PowerPC seulement), qui pourraient parfaitement inspirer des coders moins scrupuleux.
Apple aurait été informé de l'existence de ces failles depuis le mois de février sans qu'un correctif ne soit encore disponible. L'alerte publiée par le site Secunia mentionne ainsi, comme seule parade, un laconique "Ne visitez pas de sites web suspects, n'ouvrez pas d'archives ZIP ou d'images de sources inconnues".
Bref, revenez sous Windows...
Plus d'information
- L'alerte collective sur le site Secunia
- Le site du découvreur des vulnérabilités
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
