Aller directement au contenu

Mise à jour sécurité Apple : patch pour FREAK

Mise à jour sécurité Apple : patch pour FREAK

Apple vient juste d’annoncer sa dernière série de mises à jour sécurité.

OSX, dans sa version 10.8, 10.9 et 10.10 (MontainLion, Mavricks et Yosemite), reçoit la mise à jour sécurité 2015-002.freak

iOS passe à la version 8.2 et Apple TV à la version 7.1.

En particulier, nous vous conseillons de regarder le fix suivant.

Pour les utilisateurs de toutes les plateformes mentionnées ci-dessus, le bug FREAK TLS est patché.

FREAK est une faille de sécurité, qui permet à un hacker de vous duper, en vous faisant croire que vous avez affaire à une connexion sécurisée TLS, mais en fait il s’agit d’une version ancienne et dégradée, non sécurisée et utilisant des clés cryptographiques facilement piratables.

Le bug FREAK, qui a été découvert par une équipe de chercheurs, dont 3 venant de Microsoft, était au départ supposé s’appliquer uniquement à OpenSSL, et au “Secure Transport system library” d’Apple.

Safari est donc devenu le navigateur le plus répandu, à avoir ce type de bug. Cependant, ironiquement, Microsoft a réalisé que son propre Schannel TLS Library était aussi en danger, et avec lui Internet Explorer.

IOSurface RCE

Cependant, ne prenez pas uniquement ces mises à jour pour patcher FREAK.

Les 3 plateformes (Apple TV, iOS et OSX) partagent la même vulnérabilité au niveau du RCE (Remote Code Execution).

Ce bug existait déjà dans le framework de programmation IOSurface d’Apple.

IOSurface est une méthode pour permettre à 2 applications de partager un buffer de rendu vidéo. Par exemple, les frames d’un film peuvent être décompressés, par un même processus de rendu vidéo, mais visualisés par des lecteurs vidéo différents.

Ainsi, comme Apple l’a expliqué, IOSurface est “utilisé fréquemment pour permettre à des applications de gérer la décompression d’images complexes et activer de manière logique des processus séparés pour améliorer la sécurité”.

On peut supposer que des applications telles que des lecteurs vidéo, ou bien des navigateurs internet soient protégées contre de potentiels bugs au niveau du rendu, surtout s’ils sont présents dans le code qui en fait traite la structure complexe des données, au sein du fichier image lui-même.

Si un fichier image ou un fichier film piégé, devait faire planter le processus de rendu, et prendre le contrôle de l’exécution, il n’aurait pas automatiquement accès aux informations, telles que les données du navigateur ou encore aux données relatives aux connexions internet déjà actives.

Malheureusement, dans le cas du CVE-2015-1061, le framework IOSurface lui-même a ouvert une faille de  sécurité.

D’autres failles de sécurité

D’autres variantes de failles RCE sont patchées dans iOS et OSX. Ces dernières à elles seules valent largement la peine d’appliquer ces mises à jour le plus tôt possible !

De manière surprenante, Apple TV et iOS partage le même bug de bypass sécurité, dans un composant appelé : MobileStorageMounter.

L’impact de ce bug est expliqué ci-dessous :

Une application malveillante peut créer des fichiers dans une zone de confiance, au sein des fichiers système.

Cela ressemble fortement à un type de faille de sécurité qui serait très intéressante pour le jailbreaking : la capacité de modifier de manière mineure des fichiers système verrouillés. (Bien sûr, ce type de piratage est aussi efficace pour des hackers ayant un accès furtif à votre iPhone).

En fait, cette vulnérabilité, désignée sous le nom de CVE-2015-1062, est attribué à un groupe appelé : TaiG Jailbreak Team.

D’autres problèmes connus ?

Malheureusement, je ne peux pas vous donner de conseils dans l’immédiat.

En tant qu’utilisateur assidu d’Apple, je suis allé directement du message de mise en garde d’Apple vers l’App store OSX, et puis sur la page officielle de téléchargement.

Le message OSX d’alerte avait précisé que :

Une mise à jour sécurité 2015-002 pouvait être obtenue depuis le Mac App Store ou le site internet Apple de téléchargement de logiciel.

Cependant, le 09/03/2015 à 22h42, du moins depuis là où je me trouve, il n’y a toujours aucun signe de mise à jour sécurité.

Je me demande donc si Apple n’attend pas patiemment que minuit (UTC) passe, ce qui ferait officiellement cette mise à jour un “Update Tuesday”.

Billet inspiré de : “Apple fixes FREAK in iOS, OS X and Apple TV – and numerous other holes besides” par Paul Ducklin de Naked Security

Partagez “Mise à jour sécurité Apple : patch pour FREAK” avec http://wp.me/p2YJS1-1Gp

 

Lire des articles similaires

1 commentaire

Les commentaires sont fermés.