Apple ignore une faille pendant 7 mois

Des chercheurs ont présenté un proof of concept montrant une faille de sécurité dans Mac OS X 10.5 et 10.6. Ils ont alerté Apple en juin dernier, mais rien n’a été fait pour réparer le problème.

Un problème connu

C’est d’autant plus dommage que le patch est relativement simple et que certains éditeurs ont réussi à l’implémenter en quelques heures, voire quelques jours au maximum. La faille touche, en effet, tous les logiciels et systèmes d’exploitation implémentant les nombres en virgule flottante gdtoa. Dans Mac OS X, le problème réside dans les libc/strtod(3) et libc/gdtoa. Seize autres applications sont concernées par cette faille (Firefox, Opera, Chrome, OpenBSD, FreeBSD, KDE et F-Lock, entres autres) et seulement deux sont encore vulnérables : Mozilla Sunbird et le langage de programmation J.

Un cas d’école

Le proof of concept montre qu’un code PHP malveillant pourrait faire planter la machine et la manipulation des registres esi et edi (qui s’occupent des opérations mémoire) pourrait permettre l'exécution de codes à distance. Dans les faits, aucun site n’exploite encore cette faille.

Posez une question dans la catégorie Les news : vos réactions du forum
Cette page n'accepte plus de commentaires
32 commentaires
    Votre commentaire
    Meilleurs commentaires
  • magellan
    [mode monde idéal ON]
    Si ce genre d'info pouvait bâillonner tous les extrémistes pro ceci ou cela en leur montrant que tous les OS sont "fragiles"...
    [mode monde idéal OFF]
    11
  • Tous les commentaires
  • vedge2000
    C'est normal car tous les développeurs sont sur le iTabletteMachin!
    ;)
    3
  • jafar
    il peu y avoir des bug et des failles sous mac os ?
    on m'a toujours menti alors.
    3
  • petitpandaroux
    @jafar : on n'est pas encore vendredi ...
    5