Une semaine après avoir distribué une série de correctifs pour des failles de sécurité dans Mac OS X, Apple est toujours critiquée pour son peu d'empressement à avoir corrigé l'une d'entre elles et par ce qui semble être un travail à moitié fait.
A l'origine, une faiblesse dans tous les serveurs DNS qui permettait à des tiers d'écrire de fausses données dans leur cache et de détourner ainsi un internaute vers un site malintentionné, alors même qu'il avait saisi la bonne URL.
Il y a quelques temps une réunion secrète chez Microsoft avait réuni les principaux acteurs concernés, dont Apple. Première critique, cette dernière a tardé à apporter les corrections nécessaires à Mac OS X alors même que tous les participants s'étaient mis d'accord pour agir vite, et surtout de concert, afin de ne laisser aucune opportunité pour des pirates d'exploiter cette disposition des serveurs.
Plusieurs spécialistes en sécurité (ISC ou encore nCircle) s'étonnent qu'Apple n'ait finalement amendé que Mac OS X Server alors que la version cliente n'a pas été modifiée à l'identique. Elle n'utilise donc pas les paliatifs trouvés.
Pour Dan Kaminsky qui avait découvert ce problème, la lecture de la situation est différente. Il convient de lâcher la grappe à Apple qui a fait le plus important. Et même si la version cliente de Mac OS X peut présenter des risques ce n'est que dans des situations très particulières et qui n'appellent pas une réponse urgente. A noter que sur Mac OS X Server comme sur le client le serveur DNS est désactivé par défaut. Et les Mac ne sont probablement pas les plus nombreux dans la population des serveurs DNS…
Des débats, très techniques, se poursuivent ainsi entre ceux qui estiment qu'Apple n'a pas fini le travail et les autres pour qui l'essentiel a été fait, même côté client où les risques sont mineurs. En outre, par définition, ces machines ne sont pas prévues pour faire office de serveur DNS.
Enfin, ces échanges nourris et bruyants ne rendent que plus notable le silence d'Apple sur la question. Ce faisant elle laisse s'instaurer un climat de suspicion alimenté par des arguments pas nécessairement pertinents mais qui peuvent trouver un écho en l'absence de mise au point ferme et précise.
Sur le même sujet :
Pourquoi Apple n'a toujours pas mis à jour Bind
Apple tarde à mettre à jour BIND
Le jour où le Net s'écroulera
A l'origine, une faiblesse dans tous les serveurs DNS qui permettait à des tiers d'écrire de fausses données dans leur cache et de détourner ainsi un internaute vers un site malintentionné, alors même qu'il avait saisi la bonne URL.
Il y a quelques temps une réunion secrète chez Microsoft avait réuni les principaux acteurs concernés, dont Apple. Première critique, cette dernière a tardé à apporter les corrections nécessaires à Mac OS X alors même que tous les participants s'étaient mis d'accord pour agir vite, et surtout de concert, afin de ne laisser aucune opportunité pour des pirates d'exploiter cette disposition des serveurs.
Plusieurs spécialistes en sécurité (ISC ou encore nCircle) s'étonnent qu'Apple n'ait finalement amendé que Mac OS X Server alors que la version cliente n'a pas été modifiée à l'identique. Elle n'utilise donc pas les paliatifs trouvés.
Pour Dan Kaminsky qui avait découvert ce problème, la lecture de la situation est différente. Il convient de lâcher la grappe à Apple qui a fait le plus important. Et même si la version cliente de Mac OS X peut présenter des risques ce n'est que dans des situations très particulières et qui n'appellent pas une réponse urgente. A noter que sur Mac OS X Server comme sur le client le serveur DNS est désactivé par défaut. Et les Mac ne sont probablement pas les plus nombreux dans la population des serveurs DNS…
Des débats, très techniques, se poursuivent ainsi entre ceux qui estiment qu'Apple n'a pas fini le travail et les autres pour qui l'essentiel a été fait, même côté client où les risques sont mineurs. En outre, par définition, ces machines ne sont pas prévues pour faire office de serveur DNS.
Enfin, ces échanges nourris et bruyants ne rendent que plus notable le silence d'Apple sur la question. Ce faisant elle laisse s'instaurer un climat de suspicion alimenté par des arguments pas nécessairement pertinents mais qui peuvent trouver un écho en l'absence de mise au point ferme et précise.
Sur le même sujet :
Pourquoi Apple n'a toujours pas mis à jour Bind
Apple tarde à mettre à jour BIND
Le jour où le Net s'écroulera
