Les dangers de certaines failles Mac OS X sous-estimés par Apple

Par Robert Lemos (CNET News.com) - La firme à la pomme est dans le collimateur de deux consultants en sécurité pour ses bulletins d'alerte minimalistes, qui manquent de clarté et de pédagogie. Le public n'est selon eux pas suffisamment informé du degré de dangerosité des failles décelées. Deux sociétés de conseil en sécurité informatique ont reproché cette semaine à Apple Computer la légèreté de ses alertes de sécurité sur les failles de son système d'exploitation.

Ils s’appuient sur les cinq alertes publiées lundi par Apple concernant plusieurs composants de Mac OS X.

La version 10.3.3 ("Panther") est concernée par les cinq failles. Quatre d’entre elles, dont celle décelée dans le AppleFileServer, affectent Mac OS X 10.2.8 ("Jaguar"). Les mêmes problèmes sont  à corriger dans les versions Mac OS X Server correspondantes.

La plus grave met en garde contre un risque de dépassement de mémoire tampon dans le système de partage de fichiers d’Apple. Une personne malveillante pourrait l’exploiter pour lancer une attaque à distance et prendre contrôle du système. Or, la firme à la pomme la décrit simplement en une phrase comme étant une correction «visant à améliorer le traitement des mots de passe longs». Pourtant, la plupart des sociétés de sécurité répertorient généralement ce type de faille exploitable à distance comme «critique».

Les dangers des failles clairement sous-estimés - «Apple ne décrit pas la faille, ce qui empêche les gens d’être fixés», estime Chris Wysopal, vice-président R&D chez Atstake, une société spécialisée dans la sécurité qui a informé Apple après la découverte d'une des vulnérabilités. «Ils semblent croire que tout le monde passe son temps à mettre à jour son ordinateur, or ce n’est pas le cas».

Même réaction chez Eeye Digital Security, autre consultant très en vue de la sécurité des systèmes d'exploitation. Eeye, avait déjà décelé une faille dans le lecteur QuickTime en février, pense également qu’Apple n'informe pas suffisamment sur les vulnérabilités de ses produits.

Dans une alerte publiée vendredi 31 avril, Apple se contente de dire que «lire un fichier (vidéo) .mov créé à des fins malveillantes peut causer l’arrêt de QuickTime». Or, Eeye voit là un plus grand danger: ce fichier malicieux pourrait permettre d’exécuter du code nocif lorsque l’utilisateur ouvre le fichier vidéo.

Source : Robert Lemos (CNET News.com)