Ouvrir le menu principal

MacGeneration

Recherche

La faille rootpipe prend racine dans OS X (y compris 10.10.3)

Stéphane Moussie

lundi 20 avril 2015 à 11:31 • 72

macOS

Malgré la sortie d'un correctif au début du mois, la vulnérabilité rootpipe n'est pas de l'histoire ancienne.

D'une part, Apple n'a publié ce patch que pour OS X 10.10.3. Les versions antérieures du système sont donc toujours affectées par cette vulnérabilité qui permet d'escalader les droits pour prendre le plein contrôle (accès root) de la machine sans le mot de passe administrateur.

Apple a indiqué au chercheur Emil Kvarnhammar, qui a dévoilé publiquement tous les détails sur sa découverte après la sortie du correctif, qu'il n'y avait pas de mise à jour de sécurité pour les anciennes versions car cela demandait des « changements significatifs ».

C'est faux, rétorque fG!. Le hacker explique dans un billet qu'il est « possible de corriger rootpipe dans les anciennes versions d'OS X sans changement majeur ». Il assure qu'Apple n'a pas besoin de développer d'extension pour le kernel (noyau) et détaille toutes les modifications qui permettraient de corriger la faille dans 10.10.2 et antérieure.

« La réponse d'Apple à ce problème est totalement inacceptable. Il n'y a pas de déclaration officielle de fin de support pour ces versions d'OS X, s'insurge fG!. Laisser les utilisateurs exposés à des vulnérabilités aussi dangereuses et avec des exploits dévoilés publiquement est tout simplement irresponsable. »

Si rootpipe n'est vraiment pas de l'histoire ancienne, c'est aussi parce qu'Apple n'a apparemment pas correctement bouché la faille dans 10.10.3. Objective-See, spécialisé dans les logiciels de sécurité, affirme avoir trouvé « une manière triviale pour tout utilisateur local d'abuser de nouveau de rootpipe — y compris sur un 10.10.3 patché. » Les informations techniques ne sont pas divulguées publiquement afin d'éviter toute exploitation. Objective-See dit avoir prévenu Apple.

Rappelons que pour qu'un malandrin exploite rootpipe, il doit avoir un accès physique à la machine ou passer par le biais d'un malware dans le cas d'un accès distant.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Un clavier any key, un Stream Deck avec 1 262 touches, une protection en herbe ou un casque qui traduit les joueurs : les 🐟 2025

01/04/2025 à 23:59

• 0


Un moniteur OLED 4K 32 pouces en promotion sous les 1 000 €

01/04/2025 à 21:45

• 9


Déjà dans les difficultés, MacWay ne prend maintenant plus de commandes 🆕

01/04/2025 à 17:25

• 56


BenQ : découvrez leurs écrans spécialement conçus pour Mac !

Partenaire


Safari 18.4 : Apple abandonne le cadenas de la barre d’URL pour les sites HTTPS

01/04/2025 à 15:30

• 16


ChatGPT : le nouveau générateur d’images de GTP-4o est accessible à tous

01/04/2025 à 14:30

• 47


Sondage : connaissez-vous les prisons pour smartphones, une méthode physique pour restreindre l'addiction aux écrans ?

01/04/2025 à 14:10

• 31


Promo Amazon : -100 € à partir de 999 € d'achat sur des iPhone 16 et 16 Pro, Apple Watch, iPad…

01/04/2025 à 14:10

• 4


Orange va bientôt lancer deux nouvelles Livebox et augmenter ses débits

01/04/2025 à 13:54

• 37


iOS 18.4 est disponible avec Apple Intelligence et beaucoup d'autres nouveautés

01/04/2025 à 09:06

• 102


iOS 15.8.4, macOS 13.7.5 : des mises à jour pour les appareils anciens

01/04/2025 à 09:05

• 27


retroStrip ressuscite la Control Strip de Mac OS 7, mais pour macOS Sequoia

01/04/2025 à 07:00

• 6


Apple Intelligence dispo en France : toutes les nouvelles fonctions pour votre iPhone et votre Mac

31/03/2025 à 19:27

• 72


macOS 15.4 est disponible avec Apple Intelligence et les catégories dans Mail

31/03/2025 à 19:12

• 43


Adobe Substance 3D Painter abandonne les Mac Intel

31/03/2025 à 18:30

• 3


Ventes flash : un SSD externe 4 To autour de 200 € et d'autres bons plans sur le stockage

31/03/2025 à 18:23

• 31