watchOS 7.6.1 comble aussi des failles, Réactions à la publication du 30/07/2021

[Lionel]

Après iOS 14.7.1 et Big Sur 11.5.1, watchOS 7.6.1 est disponible afin de combler ce qui semble la même faille de sécurité permettant une escalade de privilèges causée par un dépassement mémoire d'une application spécialement formatée.

Là encore il est donc urgent de faire la mise à jour, la faille étant déjà activement exploitée.

Lien vers le billet original

[VSD]

Apple comble, re-comble, retire, remettent en place... et cela tous systèmes confondus ! Cela ne merde pas un peu ?

[Lionel]

Apple comble, re-comble, retire, remettent en place... et cela tous systèmes confondus ! Cela ne merde pas un peu ?

Etant donné que tous ses systèmes ont un énorme tronc commun, rien de surprenant.

[VSD]

Bien d'accord !
Mais feraient-ils pas de bien mieux contrôler leur mise à jour avant de ce précipiter et de les proposer parfois douteuses ?

[RaelRael]

donc mon apple watch premier modèle aura toujours des failles de sécurité!

[iAPX]

Bien d'accord !
Mais feraient-ils pas de bien mieux contrôler leur mise à jour avant de ce précipiter et de les proposer parfois douteuses ?

Ben voilà, tout simplement!

La course à la fonctionnalité dessert en fait le consommateur, mais la propagande l'a formaté pour qu'il ne voit que cela.
Et donc on nous vend des fonctionnalités à tire-larigot, puis maintenant du green-washing.

[PoneyBoy]

J'ai une super Casio, je l'adore. Elle se recharge toute seule au soleil, elle donne l'heure avec les aiguilles mais aussi sur un petit écran en dessous, gère les fuseaux horaires, possède 4 alarmes, calendrier, chrono, tout le merdier, et en plus elle brille dans le noir, et si jamais elle ne brille plus à la fin de la nuit, y a un bouton qui permet de l'éclairer. En plus, elle se règle toute seule. Je l'ai pas payé très cher mais franchement, c'est impeccable. Par contre, je dois reconnaître que niveau mises à jour, ça déconne grave. Pas une seule en je ne sais combien d'années... Doit y avoir de ces failles là dedans...

[iAPX]

Mouaip j'ai quelques toquantes, dont des anciennes et parmi celles-ci celles de mon père, de mon grand-père et de mon arrière grand-père.
Autant je me félicite de leur durabilité incroyable, de leur qualité de fabrication et de finition, de leur facilité de maintenance quand on a trouvé un bon artisan horloger, ou de leurs prix très accessible sur la durée, une Rolex de base coûtant moins cher sur sa vie que d'avoir watch après watch, autant on ne peut les comparer à une smart"watch".

L'orientation de la watch change petit à petit, du périphérique de communication initial pour son iPhone, puis moins dépendante, tout est fait pour la repositionner sur la santé, la prévention via les capteurs.
Ce qui pourrait m'en faire porter une plus tard quand ces fonctions abouties et moi un vioc (ça s'en vient si j'en crois mon acte de naissance!), mais sur mon poignet droit dans cette hypothèse, puisque portant forcément une de mes toquantes sur le poignet gauche.

Comme le Général Schwarzkopf, je ne choisis pas

Ce message a été modifié par iAPX - 31 Jul 2021, 16:05.

[Benzebut]

donc mon apple watch premier modèle aura toujours des failles de sécurité!

Pas forcément. Ces failles de sécurité ont pu être introduites avec les dernières versions de l’OS et ne pas concerner les précédentes….

[zero]

Si Apple ne communique pas, c'est que les failles de sécurité sont présentes. Il n'y a pas à en douter.
Les mises à jour de sécurité sont réservée qu'aux machines assez récentes. C'est rare qu'Apple mette à jour une machine de plus de six ans.
Il faut éviter d'acheter une machine Apple d'occasion pour utiliser internet.

Ce message a été modifié par zero - 2 Aug 2021, 01:52.

[aranaud]

Si Apple ne communique pas, c'est que les failles de sécurité sont présentes. Il n'y a pas à en douter.
Les mises à jour de sécurité sont réservée qu'aux machines assez récentes. C'est rare qu'Apple mette à jour une machine de plus de six ans.

C’est valable pour tous les fabricants d’électronique sans distinction. Apple semble comme même avoir un peu plus de suivit que les autres.

Je pense qu’il n’y a que Linux qui fait mieux au niveau du suivit.

[Benzebut]

Si Apple ne communique pas, c'est que les failles de sécurité sont présentes. Il n'y a pas à en douter.
Les mises à jour de sécurité sont réservée qu'aux machines assez récentes. C'est rare qu'Apple mette à jour une machine de plus de six ans.
Il faut éviter d'acheter une machine Apple d'occasion pour utiliser internet.

L'argument inverse est toute aussi crédible. Si Apple sort une mise à jour, c'est que les failles de sécurité sont corrigées.
Les mises à jour de sécurité sont disponibles pour toutes les machines les supportant. C'est rare qu'Apple mette à jour une machine qui n'ait pas bientôt 6 ans.
Il faut éviter de ne pas mettre à jour une machine Apple d'occasion pour utiliser Internet, comme toutes les machines pour cet usage d'ailleurs...

[zero]

Si Apple ne communique pas, c'est que les failles de sécurité sont présentes. Il n'y a pas à en douter.
Les mises à jour de sécurité sont réservée qu'aux machines assez récentes. C'est rare qu'Apple mette à jour une machine de plus de six ans.
Il faut éviter d'acheter une machine Apple d'occasion pour utiliser internet.

L'argument inverse est toute aussi crédible.

Non, car grace à Lionel, on a fini par connaitre Apple et ses techniques. Avec les fans, c'est toujours la même chose, on nous dit avec conviction que les failles ont été introduites à cause des dernières mises à jour.

Mais là, c'est confirmé par cet article:
https://www.lemonde.fr/projet-pegasus/artic...58_6088648.html

"Les iphone ont été-piratés par Pegasus pendant des annees".

Plein de spécialistes disent que MacOS n'est pas mieux protégé qu'un Linux ou Windows récent mais ils ne sont pas crus. Dès qu'on critique Apple, ses utilisateurs le prennent mal et se braquent.

Ce message a été modifié par zero - 2 Aug 2021, 11:01.

[downanotch]

Si Apple ne communique pas, c'est que les failles de sécurité sont présentes. Il n'y a pas à en douter.

Non, pour une faille donnée, Apple indique uniquement les OS affectés et pour lesquels il y a un correctif.

[iAPX]

...
Je pense qu’il n’y a que Linux qui fait mieux au niveau du suivit.

Quand je veux une machine exposée sur Internet et capable d'être sûre et de protéger les autres, je vais sur OpenBSD ou FreeBSD.
Il n'y a aucun compromis dans OpenBSD, ni les performances ni les fonctionnalités ne sont prioritaires par rapport à la sécurité, contrairement à tous les autres, incluant Linux.
Dans des activités très exposées (Site de "File Sharing"), j'ai eu des machines se tapant des attaques violentes à répétition, capable de descendre tout autre OS incluant des Linux, mais pas ces OS.

...
Il faut éviter de ne pas mettre à jour une machine Apple d'occasion pour utiliser Internet, comme toutes les machines pour cet usage d'ailleurs...

Les risques pour la plupart des gens viennent du navigateur, et donc indépendamment de la MàJ de l'OS, celle du navigateur est primordiale, ainsi qu'en avoir un solide face aux attaques (ou statistiquement très peu présent!!!).

Ce message a été modifié par iAPX - 2 Aug 2021, 13:24.

[Benzebut]

Non, car grace à Lionel, on a fini par connaitre Apple et ses techniques. Avec les fans, c'est toujours la même chose, on nous dit avec conviction que les failles ont été introduites à cause des dernières mises à jour.

Mais là, c'est confirmé par cet article:
https://www.lemonde.fr/projet-pegasus/artic...58_6088648.html

"Les iphone ont été-piratés par Pegasus pendant des annees".

Plein de spécialistes disent que MacOS n'est pas mieux protégé qu'un Linux ou Windows récent mais ils ne sont pas crus. Dès qu'on critique Apple, ses utilisateurs le prennent mal et se braquent.

Non point. Pour l'instant vous êtes celui affirmant que des failles de sécurité sont présentes puisqu'Apple ne communique pas. Ce qui a été mis en évidence, c'est que des failles ont été corrigées par les dernières mises à jour pour les iBidules. Et que la société a communiqué dessus pour ces mises à jour en fournissant les détails.

L'article du journal du Monde indique que le logiciel Pegasus a été installé sur plein d'appareils sans être décelés par les protections et/ou ses utilisateurs. C'est grave et démontre un problème de sécurité dans l'environnement iOS, qui devra être corrigé par la suite. Mais cela n'apporte pas d'éléments sur la sécurité meilleure ou moindre par rapport aux autre environnements, indépendamment de ce que disent les "spécialistes"...

Les risques pour la plupart des gens viennent du navigateur, et donc indépendamment de la MàJ de l'OS, celle du navigateur est primordiale, ainsi qu'en avoir un solide face aux attaques (ou statistiquement très peu présent!!!).

Bien évidemment, mais la stratégie actuelle de la Pomme est de synchroniser les versions de son navigateur Safari avec celles de ses OS (iOS, macOS, etc...). Ce qui n'est pas le cas de navigateurs comme FireFox qui permettent d'installer des versions récentes sur des OS bien plus vieux et parfaitement fonctionnels pour aller sereinement sur Internet...

[zero]

"Les iphone ont été-piratés par Pegasus PENDANT DES ANNEES."

Je remets le titre de l'article en plus explicite car il y a manifestement quelque chose qui vous a échappé ou que vous ne voulez pas voir.

Ce message a été modifié par zero - 2 Aug 2021, 15:52.

[iAPX]

...

Les risques pour la plupart des gens viennent du navigateur, et donc indépendamment de la MàJ de l'OS, celle du navigateur est primordiale, ainsi qu'en avoir un solide face aux attaques (ou statistiquement très peu présent!!!).

Bien évidemment, mais la stratégie actuelle de la Pomme est de synchroniser les versions de son navigateur Safari avec celles de ses OS (iOS, macOS, etc...). Ce qui n'est pas le cas de navigateurs comme FireFox qui permettent d'installer des versions récentes sur des OS bien plus vieux et parfaitement fonctionnels pour aller sereinement sur Internet...

Tu auras du mal à trouver un message où je conseille l'usage de Safari
Tu auras moins de mal à en trouver où je dénonce la marde que c'est et sa gestion mémoire avec du use-after-free en veux-tu en voilà!

Pour le reste et ce que @zero a écrit, oui ça fait des années que NSO et d'autres comme l'Italien HackingTeam utilisent les backdoors créées dans iOS, mais aussi dans la plupart des autres OS, et que Apple est passivement complice dans ce cas. Et activement complice dans la création initiale de ces backdoors.
Comme Microsoft, Alphabet/Google, CISCO et plein d'autres d'ailleurs.

Ce message a été modifié par iAPX - 2 Aug 2021, 16:34.

[Benzebut]

"Les iphone ont été-piratés par Pegasus PENDANT DES ANNEES."

Je remets le titre de l'article en plus explicite car il y a manifestement quelque chose qui vous a échappé ou que vous ne voulez pas voir.

Bien sur que cela a été possible pendant des années, tant que Pegasus n'a pas été identifié. De même, il est évident qu'il y a d'autres failles qui sont exploitées, jusqu'à ce qu'elles soient identifiées et ainsi de suite. Un petit jeu vieux comme le monde l'est. Tout comme l'ensemble des OS existants actuellement. Et pendant longtemps encore.

Tu auras du mal à trouver un message où je conseille l'usage de Safari
Tu auras moins de mal à en trouver où je dénonce la marde que c'est et sa gestion mémoire avec du use-after-free en veux-tu en voilà!

Le navigateur Safari est celui installé par Apple et que l'utilisateur a par défaut et de fait dépendant des mises à jour d'Apple. Des alternatives sont disponibles fort heureusement, mais il faut que l'utilisateur les connaisse et sache faire la différence. Voire souhaite regarder ce que la sécurité lui apporte pour son usage quotidien.
Une application qui aura elle aussi ses failles et corrections dans les prochaines versions...

[DOMY]

Un petit jeu vieux comme le monde l'est.
Tout comme l'ensemble des OS existants actuellement.
Et pendant longtemps encore.

L'épée et le bouclier ?
https://fr.wikipedia.org/wiki/Th%C3%A8se_du...7%C3%A9p%C3%A9e

Si quelqu'un à la solution au problème ... qu'il me contacte de suite par MP !

Ce message a été modifié par DOMY - 2 Aug 2021, 20:05.

[iAPX]

...

Tu auras du mal à trouver un message où je conseille l'usage de Safari
Tu auras moins de mal à en trouver où je dénonce la marde que c'est et sa gestion mémoire avec du use-after-free en veux-tu en voilà!

Le navigateur Safari est celui installé par Apple et que l'utilisateur a par défaut et de fait dépendant des mises à jour d'Apple. Des alternatives sont disponibles fort heureusement, mais il faut que l'utilisateur les connaisse et sache faire la différence. Voire souhaite regarder ce que la sécurité lui apporte pour son usage quotidien.
Une application qui aura elle aussi ses failles et corrections dans les prochaines versions...

Pas sous iOS ou iPadOS: c'est toujours la même merde imposée par Apple sous une surcouche de X ou Y.

La sécurité est gratuite, l'insécurité peut se révéler très très coûteuse!

PS: @Domy je connais la réponse, je l'applique pour ma télé "intelligente" quoiqu'incapable de passer un test de QI, mon vieux lecteur de média réseau et USB, nos imprimantes multifonction, et grosso merdo tout ce qui est peu-ou-prou IoC: pas de réseau, JAMAIS, ni physique (Ethernet) ni WiFi. Ça résout énormément de problèmes de sécurité!
Il y a des exceptions, comme une PS4 Pro, sur son réseau virtuel dédié, et au pire elle enverra mes résultats GTS à la terre entière, ainsi que des tours de la Nordschleife où je devrais avoir honte d'être une si grosse merde en virtuel quand je peux driver très très vite en réel. Mais je survivrais

Ce message a été modifié par iAPX - 2 Aug 2021, 21:53.

[zero]

"Les iphone ont été-piratés par Pegasus PENDANT DES ANNEES."

Je remets le titre de l'article en plus explicite car il y a manifestement quelque chose qui vous a échappé ou que vous ne voulez pas voir.

Bien sur que cela a été possible pendant des années, tant que Pegasus n'a pas été identifié. De même, il est évident qu'il y a d'autres failles qui sont exploitées, jusqu'à ce qu'elles soient identifiées et ainsi de suite. Un petit jeu vieux comme le monde l'est. Tout comme l'ensemble des OS existants actuellement. Et pendant longtemps encore.

Ce dont je parle, c'est qu'il n'y a pas que les deux dernières versions du système qui sont touchés comme à chaque fois que des failles sont découvertes mais qu'Apple s'en fout royalement. Quand on ne peut plus mettre à jour, on nous dit : "Ça n'empèche pas d'utiliser ton matériel." Ben, si très rapidement et pour plusieurs autres raisons aussi.

Ce message a été modifié par zero - 3 Aug 2021, 12:04.

[iAPX]

...
Ce dont je parle, c'est qu'il n'y a pas que les deux dernières versions du système qui sont touchés comme à chaque fois que des failles sont découvertes mais qu'Apple s'en fout royalement. Quand on ne peut plus mettre à jour, on nous dit : "Ça n'empèche pas d'utiliser ton matériel." Ben, si très rapidement et pour plusieurs autres raisons aussi.

Exactement, certains ça peut être pour des raisons légales qu'ils ne connaissent pas (le GDPR/RGPD Européen par exemple), sur leurs avenants à leurs contrat de travail ou autres clauses imposées (moi), ou tout simplement car ça serait une faute professionnelle plus que grave (moi), justifiant un licenciement pour faute et une poursuite avec des indemnités pour mon employeur à la clé.

Et devoir se déparer d'un matériel entièrement fonctionnel car Apple a décidé de lui-même qu'il était "obsolète" (dixit la pomme) sans aucune information ni consentement au moment de l'achat, juste la surprise au moment où ça arrive, c'est inacceptable.
Coté iOS, iPadOS et watchOS en fait plus que ses concurrents, ce qui est louable, mais ça serait encore mieux si l'information d'obsolescence décidée était indiqué lors de l'acte d'achat, une date de péremption donc.

Coté macOS en revanche, comparé à Windows et Linux, c'est incroyablement en-dessous en général (quoique Windows 11 peu compatible et l'arrêt des MàJ de Windows 10...) de l'obsolescence décidée encore plus inacceptable car outre de ne pas informer ni avoir l'aval du client à la vente, la période est très courte face à la durée de vie utile observée, et tout est fait maintenant pour ne pas pouvoir installer un OS alternatif, Windows ou Linux en tête.

De l'obsolescence décidée, assumée, sans information ni accord du client, et tout fait pour que le matériel ne puisse plus être utile après: les Mac sont des exemples d'écologie!

PS: mon actuel employeur m'aime bien, outre m'avoir augmenté 3 mois après être entré dans la boîte (et j'ai mon bonus qui va tomber fin décembre en sus), on m'a proposé de changer mon MBP 16" Intel 16Go/512Go pour un MBP 16" Intel 32Go/1To pour me faciliter la vie.
Mais avec mon accès admin à nos serveurs et toute notre infra Cloud (AWS et quelques autres fournisseurs), si je me fais hacker parce que non à jour, la sanction sera probablement terrible, et totalement méritée!

Ce message a été modifié par iAPX - 4 Aug 2021, 02:20.

[Benzebut]

Ce dont je parle, c'est qu'il n'y a pas que les deux dernières versions du système qui sont touchés comme à chaque fois que des failles sont découvertes mais qu'Apple s'en fout royalement. Quand on ne peut plus mettre à jour, on nous dit : "Ça n'empèche pas d'utiliser ton matériel." Ben, si très rapidement et pour plusieurs autres raisons aussi.

Il s'agit de plusieurs choses différentes. Ces failles peuvent être sur plusieurs générations d'OS ou pas comme Pegasus. Puis les exploits être adaptés aux nouvelles versions des systèmes au fur et à mesure. Enfin les mises à jour les corriger complément ou partiellement jusqu'à la prochaine fois. Pour l'obsolescence, en Europe, c'est 5 ans pour le suivi du matériel et la Pomme, comme tous les constructeurs, s'assure de respecter ces obligations pour ses mises à jour de ses OS.

Après que ces failles existent, délibérément ou par amateurisme, reste une vraie question de fiabilité. Car même si aucun système n'est parfait, il n'y a pas pire pour l'utilisateur que de se croire protéger et ne pas l'être. Surtout pour des usages professionnels impliquant un certain niveau de confidentialité ou de conformité aux réglementations, comme la bienvenue RGPD.

[zero]

Pour l'obsolescence, en Europe, c'est 5 ans pour le suivi du matériel et la Pomme, comme tous les constructeurs, s'assure de respecter ces obligations pour ses mises à jour de ses OS.

5 ans pour le SAV mais pas les vices cachés. Une faille est un vice caché. Le constructeur devrait être obligé de les corriger tant que la mise à jour logiciel est possible.

[iAPX]

+100

[zebigbug]

Pour l'obsolescence, en Europe, c'est 5 ans pour le suivi du matériel et la Pomme, comme tous les constructeurs, s'assure de respecter ces obligations pour ses mises à jour de ses OS.

5 ans pour le SAV mais pas les vices cachés. Une faille est un vice caché. Le constructeur devrait être obligé de les corriger tant que la mise à jour logiciel est possible.

Ben non ...
le vice cache est une defaut donc le vendeur connaissait et l'a caché ....
La faille n'est pas connue , donc ...
Peut on imaginé que tous les OS soient mis a jour ?
de Macos 6 ?
d'android 1
de Windows 95 ?

[zero]

Non, un vice caché est aussi un défaut de conception qui n'était pas visible jusqu'à ce qu'il est découvert.

Quant à Macos 6, android 1 et Windows 95, Microsoft l'a fait pour Windows 95 et 98 car de nombreux gens se sont plaint.
Toi, tu prends à chaque fois des extrèmes comme exemple pour défendre Apple (qui te baises tout autant que les autres). Par exemple pour le SAV comme tu le dis c'est 5 ans mais Apple ne compte pas les 5 ans à partir de la date de vente mais à partir la date de sortie du modèle. Si le modèle a été en vente 2 ans, ça ne fait plus que 3 ans pour ceux qui l'ont acheté en fin de vente. (Ça peut durer un peu plus ou moins longtemps en fonction des pièces dispo!)

Quant aux failles, il y en a qui ne peuvent être corrigées mais au bout d'un moment, ça ne devient plus possible pour diverses raisons (le ralentissement du système par exemple). Apple et Google prennent les gens pour des cons (et on se demnande parfois si ils ont pas raison car ça marche et il y a même des gens comme toi pour les défendre), elles font comme ça leur chante. Surtout Apple qui ne tient pas compte du nombre d'utilisateur impactés. Elle force toujours la main au bout de deux mises à jour majeures et comme celles-ci sortent de plus en plus souvent, le rythme est de plus en plus rapide.

[Benzebut]

Toi, tu prends à chaque fois des extrèmes comme exemple pour défendre Apple (qui te baises tout autant que les autres). Par exemple pour le SAV comme tu le dis c'est 5 ans mais Apple ne compte pas les 5 ans à partir de la date de vente mais à partir la date de sortie du modèle. Si le modèle a été en vente 2 ans, ça ne fait plus que 3 ans pour ceux qui l'ont acheté en fin de vente. (Ça peut durer un peu plus ou moins longtemps en fonction des pièces dispo!)

Sur ce point, c'est normal et ce n'est pas la Pomme. La garantie de disponibilité de 5 ans est bien calculée à compter de la mise sur le marché en Europe. Si aucune information n’est donnée, les pièces détachées sont présumées non disponibles pour les utilisateurs. Les fabricants sont ensuite libres en Europe de proposer plus et cela se traduit généralement par des garanties commerciales.

[zero]

SAV veut dire Service Après Vente, pas service après mise sur le marché. Et puis tu trouves ça normal qu'Apple fasse le minimum et faisant payer le maximum ?

Ce message a été modifié par zero - 10 Aug 2021, 01:42.