Oui et il est ou le problème ?
Mon Mac c'est pas la Nasa !!!
Ni le FBI.. des failles au risque élevé il y en a partout, mais elles sont pas encore déclarées, alors point nécessité de s'alarmer !

Fabricius

Je suis d'accord avec toi Fabricius. Ok, y'a plein de failles partout. Mes données n'intéressent personnes et aucun programme malveillant n'a exploiter ce trou béant... Alors pas de quoi s'alarmer. Mais ce serait bien qu'Apple ferme la brèche, un jour ou l'autre...

Sa serait bien qu'il fasse leur boulot....

Je suis partiellement d'accord avec toi Fabricius. Même si l'on attend de nos systèmes qu'ils soient "sécurisé" (et à chacun sa définition), il faut quand même reconnaître que je serais fort déconvenue si on venait me pirater mon ordinateur (surtout qu'ici, il est possible de passer par Firefox pour exploiter la faille).
Et en même temps, je trouve aussi parfois "puéril" de crier à chaque faille découverte (c'est le sport commun des anti-Microsoft) ; même si certains s'appliquent à les corriger rapidement (ex. Microsoft).
Après, il faut faire la part des choses et savoir protéger son ordinateur selon son utilisation et son niveau de paranoïa...

Fait plus ou moins habituel de la part d'Apple. La correction de la faille dans le DNS, 6 mois après tous les autres !!!

En remontant les sources de l'info, on trouve ça :

It is true that the examples presented in the previous notes, using the
printf (1) do not work under MacOS X. This does not mean the MacOSX C
library is safe.

Bref, ça ne marche pas mais faudrait quand même avoir peur...

http://securityreason.com/achievement_securityalert/81

@fabricius :

Parce que tu crois que les mecs qui se font "hacker" sous Windows, ont des données qui intéressent quelqu'un ?

le "pirate de base" n'attaque pas la machine sur laquelle se trouve des données qui l'intéressent, tout simplement parce que dans la plupart des cas, aucune donnée ne l'intéresse.
Il attaque les machines qui ont la faille qu'il est capable d"exploiter.

Des outils "arrosent" le réseau et lui donnent la liste des machines : "tiens, les machines macpro-de-fabricius , et macbook-de-francois ont la faille n° XDIEFZ, cliquez ici pour faire tomber la machine".
Bon j'exagère mais je ne suis pas loin de la vérité.

Alors si cette faille est connue, et qu'elle peut être corrigée, elle doit être corrigée, point barre.

@Fabricius
Le jour où ton ordi sera devenu inutilisable parce que la faille aura été exploité (ai je besoin de rappeler que depuis mai, nombre de personnes au courant de cette faille ont eu le loisir de le faire), tu seras moins sûr de toi.
Apple est très léger côté sécurité depuis un moment, et il feraient bien d'investir dans des équipes de développeurs chargés de ce problème. Parce qu'un jour ou l'autre, une personne ou un groupe de personnes s'en donneront à coeur joie. Et ce jour là, la communauté criera au scandale, sauf qu'il sera trop tard.

Non mais le boulet fanboy complétement à la ramasse là, c'est la moindre des choses que les failles soient corrigées le plus rapidement possible, NASA ou pas, que ce soit chez MS, Apple, Canonical ou Debian hein.

L'aveuglement de certains dès qu'Apple est attaqué (à raison ici) fait franchement peur quand même.

FireFox est le navigateur comprenant le plus de failles d'après une étude receente dont avait parlé Macgé d'ailleurs...malgré cela personne n'en parle et les fanboys du renard roux ne se sentent pas aveuglés pourtant....deux poids deux mesures.

@Jerry Khan: Tu as sans doute raison, je ne sais pas mais je ne crois pas que tu puisses utiliser autres chose que ton système d'exploitation contrairement à Firefox.

Si seulement il n'y avait que ce problème à résoudre...
En attendant y a des gens qui ont claqué plus de 2000€ dans des bécannes qui ne fonctionnent qu'en partie...

Ca commence à être lourd ces histoires de failles trucs machins choses. Après moultes années passées sur des ordis en tant qu'utilisateur lambda, je n'ai jamais chopé la moindre merde catastrophique (deux ou trois conneries sur win au bureau). Et pourtant je m'amuse souvent à tester pas mal de soft, juste pour voir. Alors oui il y a des failles de sécurité, des trous ceci et cela, mais bon...je crois que ça fait surtout le beurre des pseudos-chercheurs en sécurité (plus ou moins affiliés à des Norton and Co).

Après si ça fait peur à des cracks de l'informatique, et bien vu qu'ils sont des cracks, ils savent se protéger certainement beaucoup mieux que moi.

Du panda roux s'il vous plait.

*chercheur de merde spotted*

+1 Moonwalker

Aillez peur, Apple ne corrige pas une faille qui ne fonctionne pas de toutes façon sur Mac OS X (mais rien ne prouve le contraire hein) = Mort de rire. Remballez tout, vous ferez votre marché de la peur un autre jour.

Wooow, c'est beau ça... les fanboys qui nous prouvent par A+B qu'une faille importante d'un OS n'a pas besoin d'être corrigée. Joli coup.

Meuuh non Psylo, on veut juste dire qu'il faut RELATIVISER

Trouvé sur l'apple store :
"Toujours à jour.

Lorsque survient une menace de sécurité potentielle, Apple réagit promptement en publiant des mises à jour et des correctifs de sécurité qui peuvent être téléchargés automatiquement et installés en un seul clic."

HAHAHHAHAHhAHHA ; observez le promptement.

une derniére pour la route :
"
Des fichiers d'apparence innocente téléchargés sur Internet peuvent contenir des logiciels malveillants et nuire à votre ordinateur. C'est pourquoi les fichiers téléchargés à l'aide de Safari, Mail et iChat sont vérifiés en détail pour voir s'ils contiennent des applications. Le cas échéant, Mac OS X Snow Leopard vous le signale la première fois que vous ouvrez un fichier."

A ce jour, "2 definitions de virus"; dans 5 ans le nombre n'aura pas changé .

Ha ils sont forts les marketeux de Apple !

Ce qui est terrible pour une firme multinationale qui brasse des milliards, c'est quelle se fait systématiquement "moucher " sur la sécurité par des systémes libres et gratuits. Là ou ils mettent un jour a corriger une faille, Apple met six mois...Pas assez de personnel sans doute.

Quand on voit que l'argumentaire mis en avant pour passer sous mac, c'est la securité, c'est assez tragi-comique.

La sécurité est un sujet suffisamment important pour qu'il soit traité avec sérieux.

Pour la faille DNS, les premiers correctifs avaient souvent apportés plus de problèmes que la faille elle-même et il faut se rappeler que ce service était désactivé par défaut sur Mac OS X. Il n'était donc pas utile de se précipiter.

C'était beaucoup moins justifié pour la faille Java qui est restée béante alors que tous les autres OS l'avait corrigée.

Là, on a une faille qui concerne les trois grands BSD mais dont il n'a pas été démontré qu'elle touchait OS X, qui n'est pas un BSD même s'il en reprend des éléments. La qualification de High Risk n'est donc pas justifiée, sauf à vouloir faire sa pub à l'aide du buzz.

les trolls ici présents équivalent en bêtise et en mauvaise foi à Bachelot et à sa politique de la peur Grippe A.

C'est pas parce que ton mac ne montre aucun signe de fatigue, de ralentissement et qu'il marche nickel qu'il n'est pas infecté. C'est quoi cette logique de fanboy, par exemple sur windows, y'as de millions de gens qu'on un bot sans le savoir.

Le pire dans tout ça c'est que vous trouvez le moyen de dire que c'est pas grâve, on dois vous rappellez que ce qui est le moins sécurisé c'es votre home ?

Elle est mentionnée comme MEDIUM dans des sites officiels.

http://www.us-cert.gov/cas/bulletins/SB09-187.html

Il y a aussi Secunia qui maintient des statistiques pour toutes les plateformes. Je vous joins directement le lien pour OS X depuis 2003 à 2010. Sur 137 failles, 6 n'ont toujours été corrigées.

http://secunia.com/advisories/product/96/?task=advisories

Je vous laisse le loisir d'aller voir les autres OS ...

Et je suis du même avis que Jerry Khan.

@Jerry Khan: Concernant la grippe A : quand on ne sait pas on ne parle pas.

le coup habituel

Apple ne maintient pas à jour les éventuels sous-composants unix fourni avec os x qu'aucun logiciel apple/cocoa n'utilise.

Lisez la faille, oui la version d'une lib de ce langage J fourni dans os x est buggué, mais vous n'utilisez PAS ce truc pour vos logiciels mac.

(dans le cas de firefox sur mac, firefox intègre sa propre copie, manifestement).

c'est embêtant que pour le unixien pro qui aimerait utiliser la version fourni avec l'os.

c'est similaire à Apache/Php dans os X.

Mac os X est fourni de base avec Apache+Php : très bien pour écrire vite fait un site web dynamique, y a déjà 2 briques installées.

oui mais, Apple se contre fiche de me mettre à jour régulièrement PHP, alors que PHP évolue TRES souvent (et pour de GROSSES raisons).

mais php vous sert JAMAIS pour lire des vidéos, écouter itunes, lancer wow, etc.

même sur mac os X server, on ne se contenterait pas de php fourni par apple.

alors comme quasi tout le monde, on a tendance à s'installer ses propres versions de ce genre de sous composant . Dans le cas de php, par exemple ce site http://www.entropy.ch/software/macosx/PHP/ fournissait des versions à jour de PHP. prête à l'emploi pour os X.

Apple ne maintient à jour que les composants qui peuvent impacter les logiciels utilisateurs.

Dés qu'il s'agit des sous-systèmes unix qui ne servent que dans un cadre très limité, ils ne les maintiennent pas à jour.

Os X n'est définitivement pas vu par apple comme un Linux ou Unix d'entreprise. point.

On s'en fait une raison, on se rappelle que ce genre de bug n'ont aucun impact sur vos logiciels

et si on veut se faire un environnement de développement unix surpuissant, soit on installe ses propres composant dans os X (je le fais pour mysql , php, etc, même apache fut un temps) ou un linux.

Un informaticien qui souhaite tout développer sous Mac os X finit par utiliser Macports (macports.org) ou fink (http://www.finkproject.org/) , 2 projets qui vous fournissent mise à jour de tout

@Gr3gZZ [11/01/2010 18:35]

>C'est pas parce que ton mac ne montre aucun signe de fatigue, de ralentissement et qu'il marche nickel qu'il
>n'est pas infecté. C'est quoi cette logique de fanboy, par exemple sur windows, y'as de millions de gens
>qu'on un bot sans le savoir.

vous avez tout les outils pour savoir ce qui tourne sur votre mac : Moniteur d'activité, utilitaire réseau, ou en commande unix : ps, top, et lsof, netstat et diverses autre commandes pour voir ce que fait la machine.

-
Windows est maintenant fourni avec divers utilitaire graphique et ligne de commande qui donnent l'exacte détail de ce qui se trame.

Bref, c'est vrai, cela ne va pas de soi, mais l'utilisateur n'est pas abandonné seul face à une machine opaque.

Un Fanboy informé peut donc dire "moi j'ai pas de malware dans mon mac/pc/linux et toc". c'est possible. oui.

@Fabricius : pourtant quand il s'agit d'un autre OS, au hasard, Windows, tout le monde gueule en disant que c'est pourri.
Mais là c'est Apple qui ne bouge pas et c'est normal, faudra boucher le trou un jour ou l'autre comme dit josephsardin.
Curieux de changer de réaction selon qui fait l'action ou ne la fait pas...

"Apple ne maintient à jour que les composants qui peuvent impacter les logiciels utilisateurs.

Dés qu'il s'agit des sous-systèmes unix qui ne servent que dans un cadre très limité, ils ne les maintiennent pas à jour.

Os X n'est définitivement pas vu par apple comme un Linux ou Unix d'entreprise. point."

Et donc Apple vend une securité "a minima" .
En quoi est ce rassurant ?

"Il y a aussi Secunia qui maintient des statistiques pour toutes les plateformes. Je vous joins directement le lien pour OS X depuis 2003 à 2010. Sur 137 failles, 6 n'ont toujours été corrigées."

Oui mais tu oublies l'essentiel.

C'est que Apple ne communique que sur les failles reconnues; les autres failles ne sont pas publiées ( exactement comme Krosoft et les editeurs de logiciels proprietaires d'une maniére générale)
Sur les OS et softs libres, TOUTES les failles sont publiées, forcemment il y en as bien plus !
C'est comme cela que Firefox par exemple à plus de failles publiées que safari; sauf que tu ne connais absolument pas le nombre de failles detectées en interne pour safari qui restent connues des seuls developpeurs Apple.

Les stats on leur fait dire ce que l'on veut, si la methodologie et l'ouverture à la publication n'est pas strictement egale, on aboutit à un contresens total.

Plus de failles publiées, c'est plus de corrections faites et au final un soft plus stable et securisé.

"Et donc Apple vend une securité "a minima" .
En quoi est ce rassurant ?
"

non. ce n'est pas "à minima", c'est uniquement centré sur ce qui VOUS concerne, qui concerne les logiciels.

-
y a de nombreux sous-composants dans os X qui ne sont pas utilisés ou activés pour des services réseaux

Ils n'ont du coup aucune conséquence particulière.

-
Mais du coup, os X, de base, n'est PAS le meilleur "unix de développement". Certes, xcode ou textmate sont d'excellents logiciels de développement que je ne retrouve pas sous Linux

mais sous linux, je suis quasi assuré de toujours avoir la dernière version de perl, la dernière version de php, le dernier openssl, apache, tomcat, jboss, etc etc.

qui me servent à construire des services RESEAUX !

mais encore une fois, on parle de linux, Linux fait un excellent système serveur, mais un moyen environnement bureautique quotidien.

Os X est exactement dans l'inverse.

et de fait, Apple se contre-fiche si un des sous-système est pas à jour . S'il me prenait l'idée délirante de construire un service perl, ruby ou php sur Os X Client, j'irai dardare ramener des paquetages de mises à jour fait par d'autre ou je compilerai moi même mes composants.

ou.. pour moins me prendre la tête, j'irai prendre Linux.

non, encore une fois, je ne vois pas en quoi ce sous-composant vous impacterai ou menacerai la sécurité de votre ordinateur .

Là où vous auriez pu avoir peur, c'est pour Mozilla Firefox. qui à ce que je lis, s'est mis à jour. C'est le seul logiciel où vous rencontrez ce bug où ca COMPTE.

-

Microsoft Windows. alors oui, j'ai des millions de critiques envers microsoft et windows

mais TOUT bug n'est PAS un bug GRAVE qui impacte l'utilisateur windows.

je vais même être pire : je ne mets pas à jour les windows de mon entreprise à chaque éternuement. J'étudie la porté de l'alerte.

Tout bug, toute alerte de sécurité ne veut pas dire "patatra, mon ordi est tout pourri", même Windows.

Mais si vous lisez ce que je dis, il y a une grosse critique envers Apple dans mon propos :

oui je dis explicitement que os X est pratiquement jamais aussi à jour que linux sur toute technologie développeur et serveur (hormis le coeur Cocoa/Xcode, bien sur).

Et que si tôt qu'on est développeur java, ruby, ou python, Linux est toujours + à jour, et je n'utiliserai _PAS_ Os X comme os serveur pour des services réseaux genre Java enterprise, ou apache+php/cgi .

Mais l'interface de os X et des logiciels tels Coda ou textmate me manquerait cruellement sous linux. Je combinerai donc les 2 : os x comme outil pour écrire, linux pour héberger mon code et être à jour en permanence.

Un truc que je confierai à Mac os X SERVER? l'annuaire d'entreprise (Opendirectory/Openldap), c'est l'un des services unix que apple maintient correctement. Ils vendent os X server pour ça entre autre.

De toute façon, ce sont des contradictions typiques qu'on retrouve dans des blogs de unixiens/admin réseau

"whaou, super l'environnement mac ! queuah ? y a pas PERL6 ?! mais c'est grotesque, où est mon apt-get ? hiiii, et en plus c'est la version avec ZE gros bug !"

ben vi, mais perl5.10.0 est largement suffisant pour le peu qu'apple en fait dans le système, et vous êtes pas exposé à tout ça dans le zoli monde safari/finder/quicktime.

c'est pour cela que sont apparus Fink et Macports.

Fink apporte ce qu'on a sous Linux Debian : apt.

-
donc, oui, je suis désolé, c'est encore une montagne qui accouche d'une souris. Tant pis pour ma réputation de ModéréBoy Apple (hahaha, vivi je sais ). Ma seule inquiétude aurait été Firefox, et Mozilla a réagi.

et vi, Os X n'est pas un linux idéal, Apple s'en fiche. Mais l'utilisateur bureautique/vidéo/jeux n'est pas concerné.

-
http://search.cpan.org/~dapm/perl-5.10.1/pod/perl5101delta.pod#Selected_Bug_Fixes
les millions de bug que perl 5.10.1 corrige alors que os X 10.6 a toujours perl 5.10.0 . honteux.

perl 5.10.1 est sorti le 25 août 2009.

non, moi j'attends un bug openssl. ha ça oui, vla du lourd. comme y a eu y a quelques temps.

http://groups.google.com/group/macenterprise/browse_thread/thread/36e90d33b55215c1

It is true that the examples presented in the previous notes, using the
printf (1) do not work under MacOS X. This does not mean the MacOSX C
library is safe.

énième bug de buffer overflow, théoriquement sous 10.5/10.6, cela doit provoquer un plantage de l'éventuel programme qui met en oeuvre le bug.

C'est ce qui se passe dans l'exemple testé ici, ils ne peuvent pas dire que pour autant c'est exploitable pour autre chose.

le cinéma habituel. J'attendrai une preuve fonctionnel par le cert avant de courir comme un schtroumpf paniqué.

http://www.us-cert.gov/

Il y a eu bien plus dangereux comme faille de sécurité sur osx...pas vraiment de quoi s'alarmer.

[quote=Moonwalker]Pour la faille DNS, les premiers correctifs avaient souvent apportés plus de problèmes que la faille elle-même et il faut se rappeler que ce service était désactivé par défaut sur Mac OS X. Il n'était donc pas utile de se précipiter.[/quote]
N'exagérons rien, la version de transitions beta avec fix qui a été proposé par BIND n'a duré qu'un mois grand maximum (de souvenir) et les seuls doutes émis sur sa qualité était sa tendance à afficher quelques faiblesse lors de très fortes demandes, bref rien de comparable à ce que peut recevoir un DNS sous osx. Certes une beta n'est pas judicieuse lorsque l'on veut mettre à jour un daemon comme celui-ci (bien que certaines installs en prod critiques l'avaient fait), mais la version stable a pris plusieurs mois d'intégration pour Cupertino, ce qui est un exploit :) .

Pour ce qui est de la faille non exploitable sur osx, le proof of concept présenté ici date légèrement, je vous laisse imaginer celui qui tourne actuellement dans des endroits moins officiels et un peu plus sérieux techniquement j'entends) que ceux avancés dans les discussions précédentes. Ceci dit je réaffirme le fait que cette faille n'est pas de celle qui doit faire paniquer dans les chaumières.

Pour défendre Apple un peu plus sur ce sujet (oui ça m'arrive aussi même en terme de sécurité), c'est une critique que l'on peut généraliser à la majorité des grands groupes informatiques actuels. Nombre de personnes trouvant des failles et les communiquant aux éditeurs intéressés se retrouvent assez desespérés face aux réactions, tant sur le fond que sur la forme. Apple est souvent reconnaissant et cite les personnes, le seul point où ils font défaut est la rapidité de réaction.
Un exemple assez récent et flagrant est celui des éditeurs de base de données ici http://www.krebsonsecurity.com/2010/01/firm-to-release-database-web-server-0days/ .
Pour ce qui est des systèmes d'exploitation je pense que l'attitude de la partie libre de ces derniers est un exemple à suivre, bien entendu le système de développement qui les entoure est différent. Parfois il ne faudrait pas beaucoup d'homme/jour pour qu'osx s'approche de cette rapidité, c'est ce que je regrette et critique souvent.
Apple semble d'ailleurs pleinement conscient de ce problème et le retour de Darwin en BSD n'est IMHO un aveux flagrant (grandcentral est un autre exemple).
Les parties les plus critiques d'osx sont libres, ce n'est pas innocent. En contrepartie certains composants annexes pourraient être maintenus plus correctement et Apple gagnerait en utilisateurs dans le monde des développeurs et donc en maintenabilité de leurs composants libres...je l'espère depuis tellement de temps que je considère cela comme illusoire :)

Scuze moi oomu mais j'arrive pas à suivre ton raisonnement.

T'es en train de nous assurer que promis, cette faille nous concerne pas car aucun logiciel ne l'utilise... et dans le même post, tu nous dis que Firefox utilise cette lib, mais avec sa propre version.

Bon faudrait savoir, ya des logiciels, je veux dire normaux, clients, graphiques, qui peuvent utiliser cette lib pour une fonctionnalité quelconque ou pas ?

Apparamment oui. Firefox, au moins.

Maintenant tu peux me jurer, promettre, signer avec ton sang et me promettre 1000 Euros si tu te trompes, qu'il n'y a _aucun_ logiciel "grand public", par exemple sur VersionTracker, qui utilise la lib dans sa version fournie par Apple ?

Pour ceux qui pensent que parce que leur ordi ne contient pas d'information cruciale ils n'ont rien à craindre, il faut peut-être leur rappeler que dans la plupart des cas, ce ne sont pas les infos qui sont sur l'ordinateur qui intéressent les hackers, mais les infos qui transitent :
- détection de saisie clavier sur accès https : vos codes bancaires (compte, CB..) pourront faire le tour du monde ainsi, vendus pour 10€ les 100.
- votre machine sert de tremplin pour des attaques de serveurs tiers etc... Conséquences :
- dans le meilleur des cas, votre IP se trouvera blacklistée sur les domaines qui voudront mettre un terme à votre activité... Perte d'une partie d'accès à internet, même après ré-installation.
- dans le pire des cas, selon qui a été visé par l'attaque, ça se fini au tribunal car pour rappel, la sécurité d'un système appartient à l'utilisateur dudit système.

Donc peu importe qu'autour de votre nombril vous ne voyiez aucun péril, le monde est plus vaste que ces quelques centimètres carrés de peau, et une faille quelle qu'elle soit se doit d'être réparée dès qu'elle est détectée.

Mais il ne faut surtout pas oublier la faille de sécurité principale, la plus haute quel que soit le système et pour laquelle on n'aura jamais aucun correctif : l'utilisateur... surtout quand, en plus, il a les droits d'admin de son système.

@gannouche
"CA serait bien"
Et pour le reste, trop occuper du lancement de iSlate et iPhone 4G et son OS, Snow etc...c'est pas comme si il n'y avait que ça a faire ( Comme chez grossoft).

Apple commence à avoir pleins d'OS à gérer :
Snow Leopard (client et serveur)
iPhone OS (iPod touch OS)
Apple TV OS (Tiger de mémoire)
Et puis bientôt tablet OS (qui ne serait à mi chemin entre iPhone OS et autre chose)
Et je passe l' OS des iPod non touch.