Ouvrir le menu principal

MacGeneration

Recherche

Une grosse faille de sécurité corrigée dans 10.10.3 mais pas les versions antérieures

Stéphane Moussie

vendredi 10 avril 2015 à 14:01 • 56

macOS

OS X 10.10.3, sorti cette semaine, comble une grosse faille de sécurité (CVE-2015-1130) baptisée rootpipe. Ce correctif n'est en revanche pas proposé pour les versions antérieures du système (10.10.2 et précédent).

Rootpipe avait été annoncé en novembre dernier par le chercheur en sécurité Emil Kvarnhammar. À l'époque, le chercheur n'avait dévoilé publiquement aucune information technique pour éviter une exploitation. Il expliquait juste que rootpipe permettait d'avoir un accès root (tous les droits sur la machine) sans le mot de passe administrateur normalement nécessaire. Il avait convenu avec Apple, informée de la faille, qu'il en dirait plus sur sa découverte après la sortie du correctif.

À la suite de la parution de 10.10.3, Emil Kvarnhammar a donc publié sur son blog tous les détails sur rootpipe. Il s'agit grosso modo d'une API secrète qui permet à un utilisateur (administrateur ou simplement standard) d'obtenir un accès root. Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple.

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieur », écrit le chercheur en sécurité qui « [recommande] à tous les utilisateurs d'OS X de passer sur 10.10.3. »

Emil Kvarnhammar va présenter rootpipe lors de la Security Conference 2015, le 28 mai à Stockholm.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

L’administration Trump aurait-elle utilisé l’IA pour créer la formule des nouvelles taxes ?

04/04/2025 à 22:30

• 34


Donald Trump accorde un délai supplémentaire de 75 jours à TikTok

04/04/2025 à 21:45

• 8


N'attendez pas Linux sur les M4 de sitôt : c'est visiblement douloureusement compliqué

04/04/2025 à 18:30

• 28


Microsoft a 50 ans

04/04/2025 à 17:39

• 33


Apple déploie l'audio spatial en Dolby Atmos sous Windows (mais il faut payer)

04/04/2025 à 17:00

• 10


MacBook Air : nouvelle promo sur le M4, le M2 encore au tarif canon de 899 €

04/04/2025 à 15:48

• 5


Pages ne sait plus publier un livre directement sur Apple Books

04/04/2025 à 14:45

• 7


Microsoft vend son mini PC dans le cloud, pour Windows 365

04/04/2025 à 13:15

• 19


Le SSD USB4 Corsair EX400U, parfait pour les Mac et les iPhone, en promotion

04/04/2025 à 11:45

• 11


Starlink passe à 29 €/mois avec une connexion moins prioritaire

04/04/2025 à 10:30

• 97


Ubiquiti commercialise son propre adaptateur USB4 vers Ethernet 10G

04/04/2025 à 09:51

• 3


Orange Téléphone donne maintenant le nom du spammeur qui vous appelle

04/04/2025 à 08:44

• 34


Apple a envoyé aux développeurs les premières invitations pour la WWDC 2025

04/04/2025 à 07:55

• 10


Promo : l'écran 4K LG UltraFine 32 avec une colonne ERGO est à 423 € (-250 €)

03/04/2025 à 22:30

• 28


Racheter TikTok, un cadeau empoisonné ?

03/04/2025 à 21:20

• 7


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos 🆕

03/04/2025 à 20:23

• 73