Mac OS X 10.6.3 : Mise à jour record mais toujours incompléte

Apple a livré aujourd'hui une mise à jour record corrigeant 92 vulnérabilités, dont un tiers jugées critiques, pour ses systèmes d'exploitation Leopard et Snow Leopard. L'update de sécurité, identifié sous le numéro 2010-002, vient colmater 92 trous dans les éditions client et serveur de Mac OS X 10.5 et Mac OS X 10.6, éclipsant ainsi un record établi en mars 2008 quand Apple avait patché 67 failles simultanément. « Ce chiffre est tellement décourageant qu'on ne voudrait même pas le regarder,» s'est laissé aller Andrew Storms, directeur des opérations de sécurité chez nCircle Network Security.

La vague de correctifs proposée par Apple (plus de 600 Mo !) vient corriger des failles présentes dans 42 applications ou composants différents de Mac OS X, depuis l'AppKit en passant par le firewall jusqu'à la fonction de décompression Unzip et à X11, la version Mac du système X Window. Dix-huit de ces vulnérabilités concernent le précédent système d'exploitation Leopard, et 29 s'adressent spécifiquement à Snow Leopard. Les 45 restantes sont appliquées aux deux versions systèmes, les seules prises en charge actuellement par Apple. Globalement, les utilisateurs utilisant Leopard patcheront 63 bugs, tandis que ceux de Snow Leopard répareront 74 failles. La mise à jour fait passer Snow Leopard en version 10.6.3. C'est donc la plus importante effectuée sur la dernière version du système d'exploitation d'Apple depuis son lancement en août 2009. L'update 10.6.3 comprend également près de 30 corrections qui ne concernent pas des questions de sécurité.

37 failles critiques

A la différence d'autres grands fabricants de logiciels comme Microsoft et Oracle, Apple n'attribue pas de qualifications ou de scores selon la gravité des bogues. Néanmoins, 37 sur les 92 vulnérabilités patchées aujourd'hui, soit plus de 40%, sont accompagnées du commentaire «pourrait conduire à l'exécution de code arbitraire.» C'est la formule générale qu'Apple utilise pour indiquer que la faille est critique et pourrait être utilisée par des hackers pour détourner un ordinateur Mac. A noter que, parmi les correctifs, neuf d'entre eux, tous classés comme critiques, modifient le Media Player QuickTime d'Apple dans Snow Leopard. Parmi eux, six ont été signalés à Apple par 3Com TippingPoint, grâce à son programme de détection de bugs appelé Zero Day Initiative.