Alors que deux failles de sécurité sont connues depuis des mois, Apple brille par son manque de réactivité en ne proposant aucun correctif.
Les systèmes d’exploitation d’Apple sont victimes de deux failles de sécurité. Malgré le fait que l’une des failles est connue depuis mars dernier, l’autre depuis février, aucun correctif n’a pour le moment été proposé par la firme de Cupertino. Il s’agit d’un sérieux manque de réactivité qu’on serait tenté de qualifier de « une fois de plus ! ».
Toujours est-il que la première faille concerne le sudo, une commande qui permet à l’administrateur d’autoriser d’autres utilisateurs à exécuter des commandes en tant que super utilisateur. La faille de sécurité est qu’en réglant l’horloge système sur la date du 1er janvier 1970, il est possible d’avoir tous les droits sur la machine, sans le mot de passe maître. Cette faille concerne les versions Lion et Moutain Lion, avec les versions de sudo allant de 1.6.0 à 1.7.10pc et de 1.8.0 à 1.8.6pc. Mavericks ‘n’est pas concerné.
La seconde faille est une chaîne de caractères qui peut faire planter des applications OS X et iOS. Elle est composée d’une suite de caractères de la table Unicode/U0600, c’est-à-dire de caractères arabes. La faille affecte toutes les applications utilisant l’API de rendu textuel CoreText, ce qui implique par exemple les applications Safari, Chrome, Messages ou encore Mail.
Il faut rappeler que ce ne sont pas ces failles qui sont réellement graves, même si elles le sont, cela peut arriver. C’est surtout le manque de réactivité d’Apple qui est à condamner, car des personnes malveillantes auraient largement eu le temps de les exploiter depuis le temps qu’elles sont connues. Au final, si Apple semblait avoir tiré une leçon de l’épisode Flashback, ces deux failles démontrent tout le contraire.