Apple ignore une faille pendant 7 mois
Des chercheurs ont présenté un proof of concept montrant une faille de sécurité dans Mac OS X 10.5 et 10.6. Ils ont alerté Apple en juin dernier, mais rien n’a été fait pour réparer le problème.
Un problème connu
C’est d’autant plus dommage que le patch est relativement simple et que certains éditeurs ont réussi à l’implémenter en quelques heures, voire quelques jours au maximum. La faille touche, en effet, tous les logiciels et systèmes d’exploitation implémentant les nombres en virgule flottante gdtoa. Dans Mac OS X, le problème réside dans les libc/strtod(3) et libc/gdtoa. Seize autres applications sont concernées par cette faille (Firefox, Opera, Chrome, OpenBSD, FreeBSD, KDE et F-Lock, entres autres) et seulement deux sont encore vulnérables : Mozilla Sunbird et le langage de programmation J.
Un cas d’école
Le proof of concept montre qu’un code PHP malveillant pourrait faire planter la machine et la manipulation des registres esi et edi (qui s’occupent des opérations mémoire) pourrait permettre l'exécution de codes à distance. Dans les faits, aucun site n’exploite encore cette faille.
- Pénurie d’écran OLED 10,1" à cause d’Apple
- TDJ : Core i5 661
- Compaq Mini CQ10 : encore du Pine Trail
- Un contrôleur SAS 6 gigabits/s en PCIe 3.0
- CoolIT : un kit de watercooling à 75 dollars
- eVGA teste les artefacts
- Silicon Power : une CompactFlash de 128 Go
- Une Radeon HD 5970 dans un boîtier Mini-ITX !
- De la MLC « entreprise » chez Adtron
- La gamme Vertex 2 en détails
- SSD professionnels en PCIe chez OCZ
- Zalman : du froid pour les cartes graphiques
- Une vierge guerrière chez Patriot
- Du CPL compact chez Devolo
- Un grand mensonge : le CPL à 200 mégabits/s
- Un portable hybride ARM/x86 chez Lenovo
- Pas d'avenir pour le WiMAX, selon Free ?
- Silicon Power : de la DDR3 « Xpower »
C'est normal car tous les développeurs sont sur le iTabletteMachin!
il peu y avoir des bug et des failles sous mac os ?
on m'a toujours menti alors.
@jafar : on n'est pas encore vendredi ...
[mode monde idéal ON]
Si ce genre d'info pouvait bâillonner tous les extrémistes pro ceci ou cela en leur montrant que tous les OS sont "fragiles"...
[mode monde idéal OFF]
hey en tt cas je suis sur snow depuis 1 mois jvois pas ce quil a de plus que 7!
et ce nest pas un troll
It's not a faille, it's a feature
Mac = fail?
libc étant open source, il est possible de développer un patch à partir des sources (eventuellement en suivant le patch développé par OpenBSD). Ca devrait être jouable pour tout kernel hacker qui se respecte.
Je me souviens avoir du patcher un bug bizarre du ld dans 10.5 pour pouvoir faire tourner des applis Windows 16 bits dans Wine... Souvenirs, souvenirs.
Preuve qu'il n'y a pas de système sans failles...
Preuve qu'il n'y a pas de système sans failles...
Absolument, surtout dans un OS, et a fortiori un OS grand public !
Ceci dit, on peut toujours essayer.
It's not a faille, it's a feature
ça me rappelle étrangement quelqu'un...
hey en tt cas je suis sur snow depuis 1 mois jvois pas ce quil a de plus que 7!
Bin c'est facile pourtant : il a une pomme derrière l'écran !
Bin c'est facile pourtant : il a une pomme derrière l'écran !
Derrière ou devant l'écran
Sirius: +1
[Mode Chevalier de l'apocalypse ON]
Tremblés bandes d'insectes car avec vos langues fourchues vous allez réveillez le terrible LVM !
[Mode Chevalier de l'apocalypse OFF]
Je pense d'ailleurs que LVM est un BOT pour être aussi ...... LVM
Un bot aurait répondu plus rapidement.
Un bot aurait répondu plus rapidement.
Son Mac viens de planter à cause d'une (autre) faille non corrigée
Derrière ou devant l'écran
Derrière. Devant, il y a une poire =)
en même temps, le buffer overflow est le type de faille le plus répandu (il apparait quasiment dès qu'il y a conversion de données), mais est-ce au développeur ou à l'éditeur de la combler?
depuis plusieurs années, visual studio génère un warning si il rencontre par exemple _ui64toa et préconise d'utiliser sa version "corrigée" (c'est à dire qui vérifie simplement la taille du buffer) _ui64toa_s. bon, si le developpeur choisi d'utiliser une fonction non sécurisée et sans lui même vérifier la taille de ses buffer, l'éditeur de l'os est-il vraiment a blâmer?
en même temps, le buffer overflow est le type de faille le plus répandu (il apparait quasiment dès qu'il y a conversion de données), mais est-ce au développeur ou à l'éditeur de la combler?depuis plusieurs années, visual studio génère un warning si il rencontre par exemple _ui64toa et préconise d'utiliser sa version "corrigée" (c'est à dire qui vérifie simplement la taille du buffer) _ui64toa_s. bon, si le developpeur choisi d'utiliser une fonction non sécurisée et sans lui même vérifier la taille de ses buffer, l'éditeur de l'os est-il vraiment a blâmer?
C'est un rien plus délicat je pense. Il y a deux points de vues possible:
- C'est le système qui doit être safe
- C'est aux développeurs de blinder leur part du boulot.
Or, dans les deux, ce sont des humains qui développent, et donc, "oublient" les failles potentielles. Allons plus loin: il arrivait (fut une époque maudite), qu'une correction de la JVM Sun engendrait des soucis avec les développements en version précédente... alors les failles perduraient, parce que le coût de repli vers la nouvelle version était trop élevée! Pénible, mais bien réel, ce problème fait perdurer aussi nombre d'anomalies de codage qui auraient dues êtres soldées.
Je te rejoins totalement sur la théorie: difficile de toujours blâmer l'éditeur, mais concrètement, le développeur s'adosse aussi à un environnement qu'il suppose "aussi fiable que possible" (le APAP - As Proof As Possible). De là, en pratique...
C'est un rien plus délicat je pense. Il y a deux points de vues possible:
- C'est le système qui doit être safe
- C'est aux développeurs de blinder leur part du boulot.
Sauf que les développeurs aujourd'hui on leur demande de faire toujours plus et toujours plus vite, donc la sécurité, les performances et parfois même la gestion des erreurs, ça passe rapidement à la trappe...
Sauf que les développeurs aujourd'hui on leur demande de faire toujours plus et toujours plus vite, donc la sécurité, les performances et parfois même la gestion des erreurs, ça passe rapidement à la trappe...
Ne m'en parle pas... (c'est mon métier
Bin c'est facile pourtant : il a une pomme derrière l'écran !
J'aurais plutôt dit une pomme dans le cul, mais bon, chacun sa vision des choses.
7 mois ou 7 ans qu'Apple nie, camoufle, cache les failles de son OS ? Plus OS-X évolue et avance, plus il s'éloigne de Linux et des avantages qu'offrait Linux. A ce rythme, dans quelques années, ne serait-ce pas une ironie que l'on décèle moins de faille sur un Windows qui lui se renforce (loin d'être parfait ou abouti) et d'un Mac OS-X qui défaille ? Sans parler de la vétusté du matériel dans les Mac.
Ah heureusement qu'Apple a pu et sur compter (voire aussi conter...) à ses membres fanatisés à acheter les yeux fermés tout ce qui porte le logo de la pomme, sur ses ipod et iphone, sinon Mac aurait mis la clé sous la porte.
7 mois ou 7 ans qu'Apple nie, camoufle, cache les failles de son OS ? Plus OS-X évolue et avance, plus il s'éloigne de Linux et des avantages qu'offrait Linux.
MacOS X n'a aucun lien de parenté avec Linux, hein
A ce rythme, dans quelques années, ne serait-ce pas une ironie que l'on décèle moins de faille sur un Windows qui lui se renforce (loin d'être parfait ou abouti) et d'un Mac OS-X qui défaille ? Sans parler de la vétusté du matériel dans les Mac.
Vu le nombre de PC tournant encore sous XP ou 2000, la vetusté du parc PC est peut-être pas mieux lotie que celle du parc Mac, qu'en penses-tu ?
Ah heureusement qu'Apple a pu et sur compter (voire aussi conter...) à ses membres fanatisés à acheter les yeux fermés tout ce qui porte le logo de la pomme, sur ses ipod et iphone, sinon Mac aurait mis la clé sous la porte.
Ça c'est pas faux
MacOS X n'a aucun lien de parenté avec Linux, hein
Mac OS X est basé sur un BSD... Ok, ce n'est pas Linux. Mais BSD et Linux dérivent de Unix. Il y a des ressemblances ;-)
Mac OS X est basé sur un BSD... Ok, ce n'est pas Linux. Mais BSD et Linux dérivent de Unix. Il y a des ressemblances ;-)
BSD est un descendant direct d'Unix, d'où viens Darwin. Linux c'est le Canada Dry des Unix
Je vais vous laisser dire du mal des pingouins, vous êtes méchants, picétou.
Mais je vous invite à revoir l'architecture de l'OS de la pomme. C'est assez dithyrambique. Le noyau de MacOS, c'est XNU. Pour vous mettre d'accord avec les dérives et les descendances, XNU signifie X is not UNIX, dans la grande tradition Unixienne. XNU n'est pas sortie de la cuisse de Jupiter. C'est un assemblage à première vue saugrenue entre le micro-noyau Mach et des morceaux du monolytique noyau4.3BSD pour fournir l'API POSIX au premier. On obtient donc un noyau hybride, qui dispose donc des qualités (et des défauts ?) des deux types de noyaux. On est donc loin de pouvoir dire que MacOS est un UNIX BSD, habillé d'une pomme. Son noyau est pour le moins original.
Darwin est plus qu'un noyau, c'est tout un SE, fruit encore d'un savant assemblage : XNU, NeXT, BSD, et ce qu'il faut de projets libres.
Les racines de MacOS X plongent donc bien dans la richesse du monde UNIX, mais c'est à force de plusieurs niveaux d'hybridations qu'on a finit par obtenir ce système. Comment dès lors prétendre qu'une seule de ces parentés l'emporteraient sur les autres ?
(...)
Je constate que dans la necrospective retrospective de MacOS, il n'y a pas un pet de Linux dans le lot. C'est surtout ce qui compte d'abord une
il peu y avoir des bug et des failles sous mac os ?on m'a toujours menti alors.
Apparement oui. Mais le pire est la volonté de Apple de cacher ça !