Premières failles de sécurité dans High Sierra, Réactions à la publication du 26/09/2017 |
Bienvenue invité ( Connexion | Inscription )
Premières failles de sécurité dans High Sierra, Réactions à la publication du 26/09/2017 |
27 Sep 2017, 11:05
Message
#31
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
attendez.. quand un cryptovirus provoque une panique mondiale grace à une faille presente sur toutes les plateforme windows (sauf la 10) personne ne crie au loup.
Mais une faille inclue dans un logiciel associé à un script etc... permet sous acceptation de l'utilisateur de lire le contenu de votre carnet d'adresse.. là c'est la panique ? D'abord je pluessoie la reaction d'apple: je prend toujours des logiciels du MAS, et seulement si je trouve pas mon bonheur je me dirige vers l'open source (et là je vérifie la clef hash, les avis, les references etc..) Faut se calmer et arrêter le bashing à tout va, c'est quand meme trop voyant mes petites poules hein ? -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
27 Sep 2017, 11:47
Message
#32
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
Ce n'est pas la panique, c'est tout simplement la réponse de Apple qui est à côté de la plaque comme souvent.
Quand quelqu'un signale une faille de sécurité qu'elle soit critique ou pas il n'y a qu'une seule réponse d'acceptable et c'est : "Merci de nous l'avoir signalé, on s'occupe de corriger ça dans les meilleurs délais". -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
27 Sep 2017, 12:11
Message
#33
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 306 Inscrit : 27 Jul 2008 Lieu : Besançon Membre no 118 630 |
Ben oui, grosso modo Apple répond encore une fois que c'est la faute de l'utilisateur, pas de la leur. Puis ils en profitent pour en remettre une couche qu'ils vont encore restreindre les droits des utilisateurs.
Et ça fait vivement réagir car ce même procédé s'applique à plein de domaines, s'il y a un risque alors on restreint la liberté. (cf signature de Lionel). -------------------- |
|
|
27 Sep 2017, 12:18
Message
#34
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
il y a une autre manière de voir.
Apple ne promet pas de mise à jour de sécurité (parions qu'ils sont déjà dessus) et conseille aux utilisateurs de ne pas accepter tout et n'importe quoi et d'utiliser la source d'app certifié par apple. @yponomeute j'entend bien ta critique, mais l'absence de cette phrase "Merci de nous l'avoir signalé, on s'occupe de corriger ça dans les meilleurs délais" n'empêche en rien ce que j'ai écrit juste là ^ -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
27 Sep 2017, 13:00
Message
#35
|
|
Adepte de Macbidouille Groupe : Membres Messages : 222 Inscrit : 16 Jan 2014 Lieu : Belfort Membre no 188 887 |
Espérons qu'une mise à jour de sécurité va corriger ça, car pouvoir accéder aux mots de passe en clair est une faille de la plus haute gravité. En effet… et ceci justifie un peu plus l'utilisation d'un gestionnaire de mots de passe externe Ben oui, comme un bête carnet à spirale anonyme... |
|
|
27 Sep 2017, 13:28
Message
#36
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 484 Inscrit : 21 Apr 2006 Membre no 59 799 |
Sans même parler de faille, il est pour le moins curieux qu'il ne soit pas nécessaire de déverrouiller le panneau de préférence et d'entrer un mot de passe administrateur afin d'autoriser les extensions tierces. Non, voici un extrait de l'article : ...While at this time I cannot release technical details of the vulnerability, here’s a demo of a full SKEL bypass. As can be seen below in the iTerm window below, after dumping the version of the system (High Sierra, beta 9) and showing that SIP is enabled and that kernel extension we aiming to load (LittleSnitch.kext) is not loaded, nor is in the ‘kext policy’ database, something magic happens. In short, we exploit an implementation vulnerability in SKEL that allows us to load a new unapproved kext, fully programmatically, without any user interaction... J'ai l'impression qu'on est face à une vulnérabilité de SKEL (Secure Kernel Extension Loading) elle même Quoi non ? Ce sont deux choses différentes. Ce que je dis, c'est que c'est le comportement normal et prévu qui est lui même bizarre. On n'a pas besoin de déverrouiller le panneau de préférences Sécurité et confidentialité en cliquant sur le verrou et en entrant son mot de passe admin pour pouvoir cliquer sur le bouton "Autoriser" et ainsi autoriser les extensions bloquées. Donc depuis une session admin ou avec des droits admin je peux installer un logiciel avec une extension (kext). Celle-ci sera d'abord bloquée (et j'ai une demi-heure pour la débloquer, sinon re-démarrage de la bécane obligatoire). Supposons que je ne la débloque pas parce que j'ai un doute et que je ferme ma session. Un autre utilisateur non admin peut ensuite se connecter et l'autoriser ! De quelle faille tu parles ? Il y a deux failles et la première est une faille de SKEL, si cette faille est exploité le KEXT est installé directe, sans que l'utilisateur soit au courant. Visiblement il te faut une explication de texte sur la tournure "sans même parler de failles" que tu sembles avoir du mal à comprendre. Ça veut donc dire ceci : On n'a pas besoin de failles (celles rapportées par l'article), le fonctionnement même de la "protection" est pour le moins curieux. Car n'importe qui ayant un accès à la machine peut autoriser les extensions bloquées par SKEL, pas besoin de droits admin pour ça. Ce qui veut dire que même s'il n'y avait pas de faille ("Sans même parler de faille"), le système lui même n'est pas si sûr que ça. (Pardon, secure pour parler geek à la mode). PS: Comme il faut semble-t-il que je mette bien les points sur les i, alors je précise : Ma remarque est à voir en parallèle avec la première faille citée, pas la seconde qui concerne le trousseau d'accès. Ce message a été modifié par marc_os - 27 Sep 2017, 13:31. -------------------- ----------------- --JE-------SUIS-- --AHMED-CHARLIE-- --CLARISSA-YOAV-- ----------------- |
|
|
Nous sommes le : 28th March 2024 - 14:37 |