Source ID:; App Source:

Deux vulnérabilités pour Mac OS X

La première vulnérabilité touche les dernières moutures de... (Apple)

Agrandir

La première vulnérabilité touche les dernières moutures de Leopard.

Apple

Partage

Partager par courriel
Taille de police
Imprimer la page
Silicon.fr

(Paris) Les failles de sécurité dans l'environnement Mac sont de moins en moins rares. Coup sur coup, deux vulnérabilités touchant les dernières versions de Mac OS X ont été découvertes.

Les failles de sécurité dans l'environnement Mac sont de moins en moins rares. Coup sur coup, deux vulnérabilités touchant les dernières versions de Mac OS X ont été découvertes.

La première, qualifié de «modérément critique» par Secunia touche les versions 10.5.1 et 10.5.2 du système d'exploitation, soit les dernières moutures de Leopard. Le chercheur Neil Kettle a ainsi publié une preuve de concept exploitant une faille dans le protocole IPv6 qui doit permettre d'éviter la pénurie des adresses IP de l'IPv4. Selon nos confrères de Vulnérabilité.com, c'est l'implémentation de ce protocole dans le système d'exploitation qui pose problème.

«Dans un réseau local ou distant, le risque généré par cette vulnérabilité est un déni de service. Plus précisément, la vulnérabilité résulte d'une erreur présente au niveau de la fonction " ipcomp6_input() dans bsd/netinet6/ipcomp_input.c " qui ne gère pas correctement certains paquets IPv6 avec l'entête IPComp (IP Payload COMpression Protocol)», explique le webzine spécialisé dans la sécurité.

Le risque de cette vulnérabilité est limité puisque les utilisateurs sont encore peu nombreux à exploiter IPv6, mais ce protocole devrait à terme s'imposer. Gageons que Apple publiera un correctif rapidement.

La deuxième vulnérabilité semble bien plus critique. Confirmée par Apple, elle exploite un problème dans la façon dont Mac OS X gère les mots de passe pour ouvrir une session.

Concrètement, une fois le mot de passe entré pour déverrouiller le système, il est stocké dans la mémoire de la machine jusqu'à que l'utilisateur achève sa session. Si un attaquant distant a un accès à la machine (via un logiciel malveillant installé), il pourra récupérer les données stockées et donc le mot de passe.

Un correctif est en préparation du côté de Cupertino.




Commentaire (0)

Commenter cet article »

À vous de lancer la discussion!

Soyez la première personne à commenter cet article.

Commenter cet article

Vous désirez commenter cet article? Connectez-vous | Inscrivez-vous

 

Veuillez noter que les commentaires sont modérés et que leur publication est à la discrétion de l'équipe de lapresse.ca. Pour plus d'information, consultez notre nétiquette. Si vous constatez de l'abus, signalez-le.

la boite: 4391933:box; tpl: 300_B73_videos_playlist.tpl:file;

Les plus populaires : Techno

Tous les plus populaires de la section Techno
sur Lapresse.ca
»

Autres contenus populaires

La liste:-1:liste; la boite:219:box; tpl:html.tpl:file
image title
Fermer