Mise à jour de sécurité 10.6.1 pour MacOS X Snow Leopard
Moins de deux semaines après le lancement de Mac OS X 10.6 Snow Leopard, Apple est obligé de livrer une mise à jour de sécurité pour son dernier système d'exploitation. Un autre méga patch vient corriger 33 anciennes vulnérabilités découvertes dans Leopard et une quinzaine dans Tiger. Ces mises à jour arrivent juste après celles mises en ligne ces derniers jours pour le duo iPhone/iPod touch (OS 3.1.1) et pour QuickTime.
«Ces mises à jour répondent à des attaques sournoises", explique Andrew Storms, directeur des opérations de sécurité chez nCircle Network Security. "En fait, c'est la moindre des choses que nous attendions d'Apple" précise-t-il encore. Contrairement à son rival Microsoft, qui délivre ses patch de sécurité selon un calendrier mensuel prédéfini, Apple fournit ses correctifs dès qu'ils sont prêts. Le patch 10.6.1 pour Snow Leopard consiste essentiellement en une mise à niveau du lecteur Adobe Flash qui arrive dans sa version 10.0.32.18. Les utilisateurs et les chercheurs en sécurité avaient en effet signalé à Apple que Snow Leopard intégrait une version obsolète et vulnérable du lecteur Flash d'Adobe. Et chose très ét,onnante après une mise à jour majeure de Mac OS 10.5 vers 10.6, les Mac devenaient vulnérables alors qu'ils ne l'étaient pas auparavant !
Mac OS X 10.6.1 rassemble également neuf correctifs pour les vulnérabilités du lecteur Flash, dont certaines pourraient conduire à "l'exécution de code malveillant". Apple parle même d'une faille critique que les attaquants pourraient exploiter pour prendre le contrôle d'un Mac. Selon l'avis d'un spécialiste de la sécurité chez Adobe, six des neuf failles pourraient être considérées comme critiques.
Apple a publié la première mise à jour pour Snow Leopard moins de deux semaines après le lancement du système d'exploitation le 28 août, soit un rythme légèrement plus rapide qu'en 2007, quand Apple avait pris environ trois semaines pour livrer la première rustine de sécurité pour Mac OS X 10.5, alias Leopard.
La mise à jour du lecteur Adobe Flash dans sa version 10.0.32.18, disponible depuis fin de juillet, colmate une douzaine de vulnérabilités, dont trois héritées du code de développement de la version pour Windows. De toute évidence, ces dernières n'étaient pas présentes dans la version Mac. Une de ces douze failles a pourtant bel et bien été exploitée par des hackers pendant au moins une semaine avant qu'Adobe ne réagisse avec sa mise à jour 10.0.32.18. "Juste avant la distribution de son nouvel OS, Apple ne pouvait pas réinstaller un composant tiers comme le lecteur Flash d'Adobe sans retarder la sortie de son produit, explique encore Andrew Storms. Apple a dû passer par un cycle de validations avant d'intégrer Flash."
Cette mise à jour 10.6.1 - qui inclut également des correctifs pour huit autres questions de sécurité - accuse sur la balance un poids de 75 Mo. La mise à jour 2009-005 pour Leopard et Tiger est plus traditionnelle : le rapiéçage concerne 33 vulnérabilités dans le premier et 16 dans le second. Sur les 33 bugs de Mac OS X 10.5 Leopard, 23 sont de type "exécution de code malveillant" et 14 des 16 failles de Tiger concernent le même problème.
Parmi les composants patchés dans 2009-005 signalons ClamAV, l'antivirus Open Source livré avec le logiciel serveur d'Apple, CoreGraphics, le système d'impression CUPS, Launch Services, MySQL, le langage PHP, et SMB (Server Message Block), le système de partage de fichiers et d'impression utilisé par les Mac pour accéder aux protocoles réseaux Windows.
Deux de ces vulnérabilités pourraient être utilisées pour duper les utilisateurs et les amener à visiter des sites Web truqués, a déclaré Apple. D'autres, notamment les failles dans ColorSync, CoreGraphics et ImageIO, pourraient être exploitées par des attaques exploitant des images Tiff ou des fichiers PDF corrompus. Andrew Storms attire l'attention sur les six patchs pour PHP, qui mettent à jour en version 5.2.10 le langage de script livré avec Leopard. PHP 5.2.10 a pourtant été livré en juin dernier souligne encore Andrew Storms "Apple doit mettre un terme à ce temps de latence et accélérer l'intégration des nouveaux composants". La firme de Cupertino est régulièrement pointée du doigt par les experts en sécurité pour sa lenteur quant à la mise à jour des éléments tiers dans son système d'exploitation. Apple a par exemple attendu jusqu'à mi-mai pour inclure Flash Player 10.0.22.87 dans une mise à jour de sécurité pour Leopard alors qu'Adobe avait livré ce composant fin février.
Sont également inclus dans Mac OS 10.6.1, huit correctifs pour des bogues qui ne touchent pas à la sécurité. L'un d'eux répond à un problème d'affichage de pilotes dans le menu Ajout d'imprimantes. Un autre correctif augmente le nombre d'imprimantes HP reconnues par Snow Leopard.
Andrew Storms explique encore que les mises à jour d'aujourd'hui n'étaient surement pas les dernières de la semaine. «Ils viennent de mettre à jour iPhone OS, QuickTime et Mac OS X. Un nouvel iTunes vient de sortir, et il est très probable que des correctifs vont rapidement arriver pour ce dernier". "Enfin, la dernière source de vulnérabilité reste Safari", précise-t-il en notant que "le navigateur d'Apple a été patché tous les mois depuis mai, chaque fois dans la première ou deuxième semaine du mois".
Mac OS X 10.6.1, la mise à jour 2009-005 de sécurité et les pilotes d'imprimante HP mis à jour peuvent être téléchargés depuis le site d'Apple ou installés en utilisant le service de mise à jour intégré de Mac OS X.