Apple comble une faille de sécurité

le 21/09/2010 à 12:53
Apple comble une faille de sécurité
Apple a publié, via son système de mise à jour, un correctif afin de combler une faille de sécurité. Cette dernière a été repérée au sein du protocole AFP (Apple Filling protocol) permettant de partager des fichiers avec les autres utilisateurs sous Mac OS X. Ce patch concerne la version 10.6 de Mac OS X (standard et serveur), les versions antérieures n'étant pas affectées.

Apple précise qu'un hacker malintentionné connaissant le nom associé à un compte utilisateur pourrait accéder à des dossiers partagés sans pour autant connaitre le mot de passe. Retrouvez la publication officielle ici.

A lire également

La fondation Mozilla distribue depuis quelques heures une mise à jour de sécurité destinée à son navigateur vedette, Firefox, qui se voit donc désormais estampillé de la référence 2.0.0.7. Ce correctif vise principalement à combler une faille de sécurité liée à la fonctionnalité QuickTime Media Link de Quicktime, découverte il y a plus d'un an, dont les modalités d'exploitation ont été publiées voilà une semaine sur le Web. Certains auront sans doute déjà remarqué l'activation du module de mise à jour automatique. Pour les autres, cette nouvelle version est d'ores et déjà disponibles sur nos serveurs, via cette fiche pour Windows et Linux, ou cette autre fiche pour les amateurs de Mac OS.

Cette vulnérabilité aurait été décelée il y a environ un an par un chercheur anglais nommé Petko Petkov, qui fit à l'époque un rapport à Apple. La mise à jour Quicktime distribuée en mars dernier visait notamment à combler cette vulnérabilité, mais n'aurait pas correctement envisagé l'éventualité dans laquelle le lecteur multimédia est appelé par Firefox dans les versions 2.0.0.6 et antérieures. La semaine dernière, ce chercheur a donc finalement décidé de publier sur son blog un « proof of concept », ou démonstration de l'existence de cette faille.

La vulnérabilité en question permettrait à un pirate mal intentionné d'envoyer à Quicktime du code Javascript, qui est alors interprété par le navigateur Internet de l'utilisateur. Jusqu'ici, l'utilisation de l'extension No Script pour Firefox permettait de se protéger de ce type de menace. Le problème se voit ainsi résolu par cette mise à jour du navigateur Mozilla. Petko Petkov entreprend maintenant de sensibiliser l'opinion au sujet d'une faille similaire permettant d'exploiter des vulnérabilités du moteur d'Internet Explorer à partir de fichiers multimédia appelés dans Windows Media Player, même si l'utilisateur ne surfe qu'avec Firefox, Opera ou tout autre navigateur...

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours