MàJ : Apple corrige l'énorme faille de sécurité de macOS

Mise à jour du 29 novembre à 20h25 :
Apple vient déjà de publier un correctif, qu'il est possible de télécharger depuis l'utilitaire de mise à jour du système d'exploitation. La firme nous a aussi envoyé ce communiqué :

« Pour tout produit Apple, la sécurité est une priorité et nous avons y malheureusement failli avec cette version du système d'exploitation macOS.

Lorsque nos ingénieurs spécialisés dans le domaine de la sécurité ont constaté le problème ce mardi après-midi (mercredi dans la nuit en France) nous avons immédiatement commencé à travailler sur une mise à jour pour y remédier. Depuis 17h (heure française) la mise à jour est disponible au téléchargement, et plus tard dans la soirée, elle sera automatiquement installée sur tous les ordinateurs équipés de la dernière version de macOS High Sierra (10.13.1).

Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs Mac, à la fois d'avoir fourni une version incluant cette vulnérabilité mais aussi pour l'inquiétude que cela a causé. Nos clients méritent mieux. Nous sommes en train de passer au crible nos processus de développement afin que cela ne se reproduise plus. »


-----------------------------------
Actualité originale du 29 novembre à 8h03:
Le développeur Lemi Orhan Ergin a dévoilé sur Twitter une énorme faille de sécurité dans macOS High Sierra permettant de prendre le contrôle du système sans avoir besoin d’un mot de passe. La manipulation est extrêmement simple et nous avons pu confirmer sa validité sur notre système. Il suffit de taper le nom d’utilisateur « root » dans l’écran de login ou lorsque le système d’exploitation demande les identifiants de l’utilisateur pour débloquer un paramètre dans les Préférences Système. Il faut ensuite appuyer sur « Unlock » très rapidement plusieurs fois et le tour est joué.

Problème confirmé

Apple a déjà confirmé le problème et annonce travailler sur un correctif. La faille viendrait du fait que contrairement aux anciennes versions de macOS où le compte root est désactivé par défaut, le root de High Sierra est activé et un bug dans la gestion des droits permet de l’utiliser sans avoir à entrer de mot de passe.

La parade en attendant le correctif

En attendant le correctif d’Apple, il existe une parade assez simple qui consiste à définir un mot de passe pour le compte « root ». Il suffit d’aller dans le Terminal et taper la commande suivante :

sudo passwd -u root

Le système demandera alors d’entrer le mot de passe de l’utilisateur actuel, puis de rentrer un mot de passe pour le compte « root ». Une fois la procédure terminée, la machine ne sera plus vulnérable. En revanche, désactiver le compte root permet à nouveau d’exploiter la faille. Il est donc impératif de laisser le compte root activé et configurer un mot de passe.

Posez une question dans la catégorie Les news : vos réactions du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
Commenter depuis le forum
    Votre commentaire