Avec le programme « Project Zero », Google cherche à traquer les failles et vulnérabilités qui traînent dans les logiciels accédant à internet. Un projet de longue haleine donc, pour lequel le moteur de recherche a dépensé sans compter en embauchant quelques cadors dans le domaine de la sécurité informatique (lire : Project Zero : l'équipe anti-failles de Google embauche Geohot). Cette fine équipe a débusqué trois failles « zero day » dans OS X (celle-ci, celle-là, et celle-là aussi).
Les trois failles ont été communiquées à Apple dans le courant du mois d'octobre dernier et, comme le veut l'usage chez Project Zero, elles ont été rendues publiques 90 jours après leur découverte (Google estime que ces trois mois de délai sont suffisants pour que les développeurs fassent le nécessaire pour apporter les corrections nécessaires). Le danger ici, c'est de publier des failles non corrigées qui peuvent donc être exploitées par des hackers.
Pas de panique : aucune de ces vulnérabilités n'est véritablement critique puisqu'il est nécessaire d'avoir un accès physique à un Mac (ou à distance, mais dans ce cas il faut déjà avoir piraté la machine) pour en tirer le moindre profit. De plus, comme l'écrit iMore, la première faille a été marquée comme corrigée le 8 janvier, et les deux autres l'ont été via la dernière build d'OS X 10.10.2. Dès que la mise à jour de Yosemite sera rendue publique, les failles n'en seront donc plus pour tous les utilisateurs.
Source : Ars Technica
