Mac OS X 10.6.3 : Mise à jour record mais toujours incompléte

Apple a livré aujourd'hui une mise à jour record corrigeant 92 vulnérabilités, dont un tiers jugées critiques, pour ses systèmes d'exploitation Leopard et Snow Leopard. L'update de sécurité, identifié sous le numéro 2010-002, vient colmater 92 trous dans les éditions client et serveur de Mac OS X 10.5 et Mac OS X 10.6, éclipsant ainsi un record établi en mars 2008 quand Apple avait patché 67 failles simultanément. « Ce chiffre est tellement décourageant qu'on ne voudrait même pas le regarder,» s'est laissé aller Andrew Storms, directeur des opérations de sécurité chez nCircle Network Security.

La vague de correctifs proposée par Apple (plus de 600 Mo !) vient corriger des failles présentes dans 42 applications ou composants différents de Mac OS X, depuis l'AppKit en passant par le firewall jusqu'à la fonction de décompression Unzip et à X11, la version Mac du système X Window. Dix-huit de ces vulnérabilités concernent le précédent système d'exploitation Leopard, et 29 s'adressent spécifiquement à Snow Leopard. Les 45 restantes sont appliquées aux deux versions systèmes, les seules prises en charge actuellement par Apple. Globalement, les utilisateurs utilisant Leopard patcheront 63 bugs, tandis que ceux de Snow Leopard répareront 74 failles. La mise à jour fait passer Snow Leopard en version 10.6.3. C'est donc la plus importante effectuée sur la dernière version du système d'exploitation d'Apple depuis son lancement en août 2009. L'update 10.6.3 comprend également près de 30 corrections qui ne concernent pas des questions de sécurité.

37 failles critiques

A la différence d'autres grands fabricants de logiciels comme Microsoft et Oracle, Apple n'attribue pas de qualifications ou de scores selon la gravité des bogues. Néanmoins, 37 sur les 92 vulnérabilités patchées aujourd'hui, soit plus de 40%, sont accompagnées du commentaire «pourrait conduire à l'exécution de code arbitraire.» C'est la formule générale qu'Apple utilise pour indiquer que la faille est critique et pourrait être utilisée par des hackers pour détourner un ordinateur Mac. A noter que, parmi les correctifs, neuf d'entre eux, tous classés comme critiques, modifient le Media Player QuickTime d'Apple dans Snow Leopard. Parmi eux, six ont été signalés à Apple par 3Com TippingPoint, grâce à son programme de détection de bugs appelé Zero Day Initiative.

[[page]]

TippingPoint s'est aussi beaucoup fait remarqué la semaine dernière, puisqu'elle parraine le concours de hacking Pwn2Own au sein de la conférence sur la sécurité CanSecWest de Vancouver. La société a distribué cette années 45 000 dollars de récompenses à cinq chercheurs qui ont réussi à pirater l'iPhone, le navigateur Safari d'Apple, Internet Explorer de Microsoft et Firefox de Mozilla. Charlie Miller, le chercheur qui a découvert plusieurs failles de sécurité dans Snow Leopard, a déclaré aujourd'hui qu'Apple n'avait pas corrigé la vulnérabilité qu'il a utilisé mercredi dernier pour craquer Safari. « Le nouveau correctif ne résout pas le bug du Pwn2Own, » a déclaré M. Miller via Twitter, ajoutant : «Désolés les gars, il va falloir attendre le prochain patch ! »

Une mise à jour nécessaire avant l'arrivée de l'iPad

Pour Andrew Storms de nCircle, cette grosse livraison de mises à jour n'est pas une surprise. « Ce n'est pas étonnant qu'Apple ait patché QuickTime, du fait de la sortie prochaine de l'iPad, » a t-il déclaré aujourd'hui, rappelant la date du 3 avril pour la commercialisation de la tablette d'Apple aux US. « C'est classique, avant la sortie d'un nouveau matériel, Apple met généralement à jour son logiciel iTunes, et le lecteur QuickTime. Et l'iPad va utiliser l'iTunes Store pour le téléchargement d'applications compatibles et de contenu multimédia, » a expliqué Andrew Storms. «C'est pour cette même raison que je prévois qu'Apple va aussi mettre à jour l'OS de l'iPhone OS cette semaine ! »