Hier, Apple a corrigé 51 vulnérabilités, la plupart jugées critiques, dans les versions 10.7, alias Lion, et 10.6 - plus connu sous le nom de Snow Léopard - de son système d'exploitation Mac OS X. C'est la première mise à jour de sécurité de l'année 2012 et le dernier update de ces systèmes date de la mi-octobre 2011. Après avoir effectué la mise à jour de Lion, certains utilisateurs ont signalé sur le forum du support technique d'Apple que toutes leurs applications plantaient dès leur lancement. Et le fil de discussion s'est rapidement emballé. Parmi les correctifs, deux concernent une vulnérabilité dans le protocole SSL (Secure Socket Layer) 3.0 et le TLS (Transport Layer Security) 1.0. En septembre dernier, des chercheurs avaient mis au point un outil de piratage du nom de BEAST, pour « Browser Exploit Against SSL/TLS», lequel permet d'intercepter et de déchiffrer des cookies SSL en utilisant le mode d'attaque man-in-the-middle sur des paquets cryptés. Apple avait déjà patché le même bug dans iOS. Microsoft et Mozilla avaient devancé Apple pour appliquer ce patch, tout en relativisant la probabilité de telles attaques.

Des mises à jour attendues

La firme de Cupertino avait aussi pris du retard dans la révocation de certains certificats délivrés par Digicert, une autorité de certification (CA) malaisienne intermédiaire. L'an dernier, des chercheurs avaient constaté que Digicert avait émis 22 certificats insuffisamment cryptés avec des clés de 512 bits et ne comportant pas les extensions de certification et les informations de révocation. Microsoft et Mozilla les avaient révoqués il y a trois mois environ.

Apple a également corrigé six vulnérabilités dans QuickTime, le lecteur multimédia intégré à Mac OS X. Celui-ci pouvait être déclenché par des fichiers image, audio ou vidéo malveillants, comme l'explique Apple dans le document relatif à ces mises à jour. Parmi les 51 failles, 40 sont accompagnées de l'habituelle mention « susceptible d'exécuter du code arbitraire », une façon pour Apple de dire que ces bogues sont critiques et qu'ils pourraient être utilisés par des attaquants pour prendre le contrôle d'un ordinateur Mac dans le cas où leur exploit réussit. Une de ces vulnérabilités pourrait être exploitée dans une attaque « drive-by », laquelle, pour réussir, consiste simplement à tromper l'utilisateur en l'incitant à se connecter à un site malveillant.

Troisième mise à jour majeure pour Lion

Comme d'habitude, la mise à jour de sécurité a supprimé des bugs identifiés dans plusieurs modules du système d'exploitation, notamment des éléments Open Source qu'Apple intègre avec son propre code, et plus précisément des composants Apache, ColorSync, OpenGL, PHP et X11, pour ne citer que ceux-là.

La mise à jour 10.7.3 de Lion, la troisième depuis la sortie de ce système en juillet 2011, apporte également des corrections et des changements qui n'ont pas de rapport avec la sécurité. Par exemple, Apple a pris soin de corriger un bug empêchant le rétablissement de la connexion WiFi après la mise en veille de l'ordinateur et a apporté plusieurs améliorations à l'intégration de son OS avec l'Active Directory de Windows Server, qui supervise l'authentification sur les réseaux d'entreprise. Apple avait déjà corrigé certains bugs en rapport avec la connexion Wi-Fi dans Lion, notamment lors de la première mise à jour de son nouveau système en août dernier. Quant à la mise à jour de Snow Léopard, celle-ci est essentiellement une mise à jour de sécurité identifiée sous la référence 2012-001. Dans le cadre de sa mise à jour de Lion et Snow Léopard, Apple a également fait passer Safari en version 5.1.3.