Pour l'expert Charlie Miller, au fait des vulnérabilités de Mac OS X, cette «énorme» mise à jour laisse quand même de côté un nombre important de failles. « Apple sort un correctif gigantesque, mais tous les bugs que j'ai identifiés ne sont pas traités, » a t-il déclaré dans un tweet. « Ça donne une idée du nombre de failles dans leur code, ou bien ils n'ont vraiment pas de chance ! » a t-il ajouté. « L'update de sécurité 2010-007, livré séparément aux utilisateurs de Leopard, intégrait des changements importés de la version 10.6.5 non corrigée de Snow Leopard. Il corrigeait déjà 46% de vulnérabilités de plus que tous les patchs livrés par Apple à cette date, » a t-il calculé.

55 vulnérabilités corrigées dans le lecteur Flash d'Adobe

Mais le nombre de correctifs de la dernière mise à jour a été largement gonflé par un bataillon de 55 vulnérabilités à corriger dans le Player Flash d'Adobe, soit 41% du total des failles corrigées par Apple cette fois-ci. En effet, contrairement aux autres éditeurs de système d'exploitation, Apple fournit le Player Flash avec son OS et se charge de la maintenance du lecteur multimédia d'Adobe - souvent pointé du doigt pour le nombre de failles qu'il contient - en utilisant son propre processus de mise à jour. A la différence de la précédente mise à jour de Flash effectuée via Mac OS X, celle-ci inclue tous les derniers correctifs du lecteur multimédia, y compris les 18 livrés la semaine dernière par Adobe. En juin, Adobe, par la voix de Brad Arkin, son directeur en charge de la sécurité et la confidentialité des produits, avait critiqué Apple, l'accusant de ne pas fournir à ses utilisateurs la version la plus récente de son lecteur. « La mise à jour 10.6.4 pour Mac OS X comprend le player Flash, mais pas la dernière version, » avait-il déclaré à l'époque. La mise à jour d'Apple qui comprend les 4 correctifs de sécurité pour Flash livrés par Adobe entre le début du mois de juin et le début novembre rattrape désormais ce retard.

Les mises à jour Flash bientôt évincées

Mais on ne sait pas pendant combien de temps Apple continuera à fournir des correctifs pour Flash à ses clients. Il y a trois semaines, Apple a confirmé qu'elle ne livrerait plus le lecteur d'Adobe avec son système - le nouveau portable MacBook Air est le premier du genre à être dépourvu de Flash - sans préciser quand elle cesserait de corriger les failles du player d'Adobe. Entre temps, l'éditeur de San José a promis d'ajouter une notification automatique pour informer les utilisateurs Mac de la disponibilité d'une nouvelle version de Flash, mais a refusé de fournir une date de sortie pour cet outil. Depuis 2007, Apple et Adobe s'affrontent à propos de Flash. Mais le différend s'est beaucoup envenimé cette année, pendant laquelle les deux entreprises ont eu de vifs échanges à son sujet. En avril, Steve Jobs s'en est pris au lecteur Flash, en excluant toute intégration aux terminaux d'Apple tournant sous iOS. Mi-mai les vice-présidents du conseil d'administration d'Adobe avaient vivement réagi en accusant Apple de saper le web !

X11, Quicktime, Image IO, ATS et plus

Parmi les 79 correctifs, hors Flash, de cette mise à jour massive, 16 concernent X11, l'environnement permettant d'exécuter des applications du système Unix X Window sous Mac OS X, 9  concernent QuickTime, le lecteur multimédia d'Apple, 4 corrigent le composant ImageIO  du système, et 4 autres touchent à l'Apple Type Services (ATS), le moteur de rendu de polices. Parmi les bugs ATS corrigés, figure celui rendu publique lundi par l'entreprise de sécurité informatique Core Security Technologies. Celle-ci mettait notamment en garde les utilisateurs Mac sur le fait qu'Apple avait déjà laissé passer deux échéances pour corriger la variante d'un bug utilisé l'été dernier pour effectuer le « jailbreak » des iPhone sous IOS 4 et affectant Mac OS X 10.5 Leopard. 3 des 9 vulnérabilités affectant QuickTime ont été signalées à Apple par TippingPoint, un organisme mis en place par HP et chargé de chapeauter le programme de chasse aux bugs Zero Day Initiative. Une autre faille concernant QuickTime avait été révélée par Nils, un chercheur travaillant pour le cabinet de conseil en sécurité basé au Royaume-Uni MWR InfoSecurity, surtout connu pour ses exploits au concours de hacking annuel Pwn2Own. En 2010, il avait réussi à contourner deux grandes technologies de protection - DEP et ASLR - dans Windows 7, pour exploiter des failles dans Firefox de Mozilla. En 2009, il avait réussi à cracker Firefox, Safari et Internet Explorer 8. La plupart des failles corrigées mercredi sont accompagnées du commentaire habituel d'Apple, à savoir qu'elles peuvent « conduire à l'exécution de code arbitraire, » une manière pour l'entreprise de Cupertino, de dire que celles-ci sont critiques.

Pus de stabilité et de fiabilité aussi

À côté de ces 134 patchs, Apple a remédié à une vingtaine de problèmes qui n'ont pas de rapport avec la sécurité. Plusieurs d'entre eux sont liés à la stabilité ou à la fiabilité. Fidèle à sa tradition, Apple n'a divulgué aucun détail sur ces correctifs. De manière très laconique, elle indique par exemple que certains concernent «  la stabilité et les performances des applications graphiques et des jeux» même s'ils peuvent éventuellement impliquer un grand nombre de changements au coeur du système d'exploitation. La mise à jour 10.6.5 résoud également un problème rencontré avec certaines imprimantes HP connectées à un réseau sans fil. De même, elle ajoute le support des transferts de fichiers cryptés au service de stockage en ligne d'Apple, comme elle améliore la fiabilité des connexions aux serveurs Microsoft Exchange.

Une MAJ maousse de 645Mo

Compte tenu de la taille de la mise à jour - entre 240 Mo et 645Mo pour la version client de Mac OS X - il n'est pas surprenant de voir, sur le forum du support technique d'Apple, les difficultés rencontrées par certains utilisateurs. Plusieurs déclarent, par exemple, qu'ils n'arrivent plus à se connecter à des réseaux sans fil 802.11n après le passage en 10.6.5. Mais le problème le plus grave concerne les utilisateurs du logiciel de cryptage Whole Disk Encryption de PGP. Ceux-là ont signalé que leur Mac ne démarrait plus après la mise à jour, les forçant à restaurer leur système à partir d'une sauvegardeSelon PGP, les utilisateurs peuvent appliquer cette mise à jour en toute sécurité s'ils ont au préalable procédé au décryptage de leur disque dur.

La mise à jour Mac OS X 10.6.5 peut être télécharger sur le site d'Apple ou simplement installé automatiquement depuis l'outil Mise à jour de logiciels dans le menu Pomme.