IPB

Bienvenue invité ( Connexion | Inscription )

2 Pages V  < 1 2  
Reply to this topicStart new topic
> Premières failles de sécurité dans High Sierra, Réactions à la publication du 26/09/2017
Options
raoulito
posté 27 Sep 2017, 11:05
Message #31


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 010
Inscrit : 24 Jan 2014
Lieu : La Vienne
Membre no 189 026



attendez.. quand un cryptovirus provoque une panique mondiale grace à une faille presente sur toutes les plateforme windows (sauf la 10) personne ne crie au loup.
Mais une faille inclue dans un logiciel associé à un script etc... permet sous acceptation de l'utilisateur de lire le contenu de votre carnet d'adresse.. là c'est la panique ?

D'abord je pluessoie la reaction d'apple: je prend toujours des logiciels du MAS, et seulement si je trouve pas mon bonheur je me dirige vers l'open source (et là je vérifie la clef hash, les avis, les references etc..)
Faut se calmer et arrêter le bashing à tout va, c'est quand meme trop voyant mes petites poules hein ?


--------------------
——

Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)

Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout.
JULES CLARETIE
Go to the top of the page
 
+Quote Post
yponomeute
posté 27 Sep 2017, 11:47
Message #32


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 969
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Ce n'est pas la panique, c'est tout simplement la réponse de Apple qui est à côté de la plaque comme souvent.

Quand quelqu'un signale une faille de sécurité qu'elle soit critique ou pas il n'y a qu'une seule réponse d'acceptable et c'est : "Merci de nous l'avoir signalé, on s'occupe de corriger ça dans les meilleurs délais".


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
Tom25
posté 27 Sep 2017, 12:11
Message #33


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 306
Inscrit : 27 Jul 2008
Lieu : Besançon
Membre no 118 630



Ben oui, grosso modo Apple répond encore une fois que c'est la faute de l'utilisateur, pas de la leur. Puis ils en profitent pour en remettre une couche qu'ils vont encore restreindre les droits des utilisateurs.

Et ça fait vivement réagir car ce même procédé s'applique à plein de domaines, s'il y a un risque alors on restreint la liberté. (cf signature de Lionel).


--------------------
Go to the top of the page
 
+Quote Post
raoulito
posté 27 Sep 2017, 12:18
Message #34


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 010
Inscrit : 24 Jan 2014
Lieu : La Vienne
Membre no 189 026



il y a une autre manière de voir.
Apple ne promet pas de mise à jour de sécurité (parions qu'ils sont déjà dessus) et conseille aux utilisateurs de ne pas accepter tout et n'importe quoi et d'utiliser la source d'app certifié par apple.

@yponomeute j'entend bien ta critique, mais l'absence de cette phrase "Merci de nous l'avoir signalé, on s'occupe de corriger ça dans les meilleurs délais" n'empêche en rien ce que j'ai écrit juste là ^


--------------------
——

Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :)

Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout.
JULES CLARETIE
Go to the top of the page
 
+Quote Post
Oncle Sophocle
posté 27 Sep 2017, 13:00
Message #35


Adepte de Macbidouille
*

Groupe : Membres
Messages : 222
Inscrit : 16 Jan 2014
Lieu : Belfort
Membre no 188 887



Citation (g4hd @ 26 Sep 2017, 14:15) *
Citation (ekami @ 26 Sep 2017, 11:06) *
Espérons qu'une mise à jour de sécurité va corriger ça, car pouvoir accéder aux mots de passe en clair est une faille de la plus haute gravité.

En effet… et ceci justifie un peu plus l'utilisation d'un gestionnaire de mots de passe externe


Ben oui, comme un bête carnet à spirale anonyme... rotfl.gif
Go to the top of the page
 
+Quote Post
marc_os
posté 27 Sep 2017, 13:28
Message #36


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 484
Inscrit : 21 Apr 2006
Membre no 59 799



Citation (vlady @ 26 Sep 2017, 16:34) *
Citation (marc_os @ 26 Sep 2017, 16:17) *
Citation (vlady @ 26 Sep 2017, 16:03) *
Citation (marc_os @ 26 Sep 2017, 14:16) *
Sans même parler de faille, il est pour le moins curieux qu'il ne soit pas nécessaire de déverrouiller le panneau de préférence et d'entrer un mot de passe administrateur afin d'autoriser les extensions tierces.


Non, voici un extrait de l'article :

...While at this time I cannot release technical details of the vulnerability, here’s a demo of a full SKEL bypass. As can be seen below in the iTerm window below, after dumping the version of the system (High Sierra, beta 9) and showing that SIP is enabled and that kernel extension we aiming to load (LittleSnitch.kext) is not loaded, nor is in the ‘kext policy’ database, something magic happens. In short, we exploit an implementation vulnerability in SKEL that allows us to load a new unapproved kext, fully programmatically, without any user interaction...

J'ai l'impression qu'on est face à une vulnérabilité de SKEL (Secure Kernel Extension Loading) elle même sad.gif

Quoi non ?
Ce sont deux choses différentes.

Ce que je dis, c'est que c'est le comportement normal et prévu qui est lui même bizarre. On n'a pas besoin de déverrouiller le panneau de préférences Sécurité et confidentialité en cliquant sur le verrou et en entrant son mot de passe admin pour pouvoir cliquer sur le bouton "Autoriser" et ainsi autoriser les extensions bloquées.

Donc depuis une session admin ou avec des droits admin je peux installer un logiciel avec une extension (kext).
Celle-ci sera d'abord bloquée (et j'ai une demi-heure pour la débloquer, sinon re-démarrage de la bécane obligatoire).
Supposons que je ne la débloque pas parce que j'ai un doute et que je ferme ma session.
Un autre utilisateur non admin peut ensuite se connecter et l'autoriser !


De quelle faille tu parles ? Il y a deux failles et la première est une faille de SKEL, si cette faille est exploité le KEXT est installé directe, sans que l'utilisateur soit au courant.

Visiblement il te faut une explication de texte sur la tournure "sans même parler de failles" que tu sembles avoir du mal à comprendre.
Ça veut donc dire ceci : On n'a pas besoin de failles (celles rapportées par l'article), le fonctionnement même de la "protection" est pour le moins curieux. Car n'importe qui ayant un accès à la machine peut autoriser les extensions bloquées par SKEL, pas besoin de droits admin pour ça. Ce qui veut dire que même s'il n'y avait pas de faille ("Sans même parler de faille"), le système lui même n'est pas si sûr que ça. (Pardon, secure pour parler geek à la mode).

PS: Comme il faut semble-t-il que je mette bien les points sur les i, alors je précise : Ma remarque est à voir en parallèle avec la première faille citée, pas la seconde qui concerne le trousseau d'accès.

Ce message a été modifié par marc_os - 27 Sep 2017, 13:31.


--------------------
-----------------
--JE-------SUIS--
--AHMED-CHARLIE--
--CLARISSA-YOAV--
-----------------
Go to the top of the page
 
+Quote Post

2 Pages V  < 1 2
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 28th March 2024 - 14:37