Trois semaines, il aura fallu attendre trois semaines pour qu’Apple livre enfin à ses utilisateurs un patch visant à corriger la méga-faille dans le protocole DNS. Même certains macophiles commençaient à sérieusement s’impatienter vu le danger que représente cette vulnérabilité.
Les correctifs réunis dans un ‘Security Update 2005-005’ est disponible à travers le système classique de mise à jour et concerne MacOS X 10.4.11, MacOS X 10.5.4 et MacOS X Server 10.5.4.
Rappelons que cette faille a été découverte par l’expert Dan Kaminsky qui a d’abord gardé l’information secrète. Elle aurait pu permettre à des pirates de rediriger n’importe quelle adresse Internet vers d’autres sites de leur choix ou leurs propres systèmes.
Dès lors, on découvre rapidement que les géant du Net ont eu connaissance de la faille depuis plusieurs mois et qu’ils ont, semble- t-il, réussi à corriger les problèmes. Sun, Microsoft , Cisco ou encore le Département de la Défense Nationale américaine s’unissent. Dans la plus grande discrétion, les patchs massifs sont élaborés puis diffusés en cascade quelques temps après la « révélation ». Mais Apple manque à l’appel… Le fabricant ne participe pas à cette union sacrée et ne publie pas de correctif dédié afin de mettre à jour BIND, le logiciel open souce en charge du DNS.
Dans un premier temps, l’absence d’un patch pour MacOS pouvait être acceptable puisque les détails de la vulnérabilité étaient inconnus rendant quasi impossible son exploitation. Par ailleurs, BIND est dans la plupart des cas désactivé sous MacOS X mais pas dans MacOS X Server qui utilise le protocole DNS et qui active donc BIND par défaut.
Mais le 23 juillet, des éléments de la faille sont révélés « par accident « . Deux jour après, les premiers kits d’exploitation sont diffusés sur la Toile, mettant en danger les utilisateurs de la pomme accusée de laxisme.
Une semaine après, le patch d’Apple est finalement prêt. Mais le manque de réactivité du constructeur risque de laisser des traces.
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…