Parmi les correctifs, deux concernent une vulnérabilité dans le protocole SSL (Secure Socket Layer) 3.0 et le TLS (Transport Layer Security) 1.0. En septembre dernier, des chercheurs avaient mis au point un outil de piratage du nom de BEAST, pour « Browser Exploit Against SSL/TLS», lequel permet d'intercepter et de déchiffrer des cookies SSL en utilisant le mode d'attaque man-in-the-middle sur des paquets cryptés. Apple avait déjà patché le même bug dans iOS. Microsoft et Mozilla avaient devancé Apple pour appliquer ce patch, tout en relativisant la probabilité de telles attaques.
Des mises à jour attendues
La firme de Cupertino avait aussi pris du retard dans la révocation de certains certificats délivrés par Digicert, une autorité de certification (CA) malaisienne intermédiaire. L'an dernier, des chercheurs avaient constaté que Digicert avait émis 22 certificats insuffisamment cryptés avec des clés de 512 bits et ne comportant pas les extensions de certification et les informations de révocation. Microsoft et Mozilla les avaient révoqués il y a trois mois environ.
Apple a également corrigé six vulnérabilités dans QuickTime, le lecteur multimédia intégré à Mac OS X. Celui-ci pouvait être déclenché par des fichiers image, audio ou vidéo malveillants, comme l'explique Apple dans le document relatif à ces mises à jour. Parmi les 51 failles, 40 sont accompagnées de l'habituelle mention « susceptible d'exécuter du code arbitraire », une façon pour Apple de dire que ces bogues sont critiques et qu'ils pourraient être utilisés par des attaquants pour prendre le contrôle d'un ordinateur Mac dans le cas où leur exploit réussit. Une de ces vulnérabilités pourrait être exploitée dans une attaque « drive-by », laquelle, pour réussir, consiste simplement à tromper l'utilisateur en l'incitant à se connecter à un site malveillant.
Troisième mise à jour majeure pour Lion
Comme d'habitude, la mise à jour de sécurité a supprimé des bugs identifiés dans plusieurs modules du système d'exploitation, notamment des éléments Open Source qu'Apple intègre avec son propre code, et plus précisément des composants Apache, ColorSync, OpenGL, PHP et X11, pour ne citer que ceux-là .
La mise à jour 10.7.3 de Lion, la troisième depuis la sortie de ce système en juillet 2011, apporte également des corrections et des changements qui n'ont pas de rapport avec la sécurité. Par exemple, Apple a pris soin de corriger un bug empêchant le rétablissement de la connexion WiFi après la mise en veille de l'ordinateur et a apporté plusieurs améliorations à l'intégration de son OS avec l'Active Directory de Windows Server, qui supervise l'authentification sur les réseaux d'entreprise. Apple avait déjà corrigé certains bugs en rapport avec la connexion Wi-Fi dans Lion, notamment lors de la première mise à jour de son nouveau système en août dernier. Quant à la mise à jour de Snow Léopard, celle-ci est essentiellement une mise à jour de sécurité identifiée sous la référence 2012-001. Dans le cadre de sa mise à jour de Lion et Snow Léopard, Apple a également fait passer Safari en version 5.1.3.
[[page]]
Cependant, certains possesseurs de Mac n'ont pas du tout apprécié les effets de la mise à jour de Lion sur leurs machines. « Juste après l'update de mon système en 10.7.3, toutes les applications se sont mises à crasher, » a déclaré « albert421 » dans le premier billet ouvrant un interminable fil de discussion sur le forum technique d'Apple. « Toutes les applications, toutes les fenêtres, affichent tout simplement le message d'erreur Cui Cui Cui Cui » (en fait « CUIElement::LoadFromArtFile ») à la place de l'image non chargée. D'autres messages se sont fait l'écho de situations similaires, certains utilisateurs affirmant qu'ils avaient réussi à récupérer leur système en restaurant une sauvegarde Time Machine après avoir démarré sur la partition de récupération de Lion, ou en réinstallant tout simplement Mac OS X. Un des intervenants a suggéré aux utilisateurs en mesure de démarrer leur machine en « safe mode » (touche Maj enfoncée au redémarrage) de télécharger et d'installer la mise à jour Combo, un fichier beaucoup plus lourd.
Mac OS X 10.7.3 et la mise à jour de sécurité référencée 2012-001 de Snow Léopard peuvent être téléchargées sur le site d'Apple ou installées en utilisant la fonction « Mise à jour de logicielles » intégrée à Mac OS X. Apple ne délivre plus de mises à jour pour Mac OS X 10.5, alias Léopard.
Selon Net Applications qui mesure l'affluence des systèmes d'exploitation sur le Web, Lion représente 34%, soit un peu plus d'un tiers, de tous les Mac qui se sont connectés le mois dernier, contre 15% pour Léopard.