Mises à jour Apple pour iWork et iMovie

Responsables ITSécurité MacAppleOS X

Mises à jour Apple pour iWork et iMovie

mises à jour appleVous êtes prêts pour de nouvelles mises à jour Apple ?

Apple a sorti des nouvelles mises à jour Apple, mi-octobre, pour iMovie et iWork (préparez-vous pour un téléchargement d’environ 1 Go en tout), en incrémentant le chiffre du milieu du numéro de la version.

Keynote sur OS X, par exemple, passe de la version 6.5.3 à la version 6.6 (pas de version 6.5.4 !), et iMovie passe de la version 10.0.9 a la version 10.1, et finalement iWork sur iOS passe à la version 2.6.

Ces mises à jour Apple proposent un peu plus que de simples résolutions de bugs, comme on pourrait s’y attendre avec une simple incrémentation, sans pour autant parler de changements majeurs, qui impliqueraient de devoir apprendre de nouveaux menus et changer certains boutons.

En résumé, iWork qui est un produit OS X, ne s’appelle plus ainsi dorénavant. En effet, Keynote, Pages, Numbers (l’équivalent dans l’univers Mac de PowerPoint, Word et Excel sous Windows), sont à présent téléchargeables séparément, depuis l’App Store, en tant qu’applications.

Cependant, ces 3 produits, similaires à Office, ont reçu des mises à jour Apple, qui avaient été annoncées dans la liste Security Advisory d’Apple.

Les vulnérabilités patchées, dans les mises à jour Apple, étaient toutes exploitables par le biais de fichiers piégés. Ainsi, un hacker pouvait vous envoyer une présentation, en apparence inoffensive, ou une feuille de calcul, ou encore un simple document, et au final ce dernier pouvait se révéler être un fichier malveillant.

Selon Apple, ces fichiers malveillants pouvaient causés la divulgation d’informations (un pirate qui a accès à des données personnelles, en dehors du document que vous venez juste d’ouvrir), ou engendrés un Remote Code Execution (le fichier piégé en question, contient un programme caché qui se lance sans avertissement).

Des mises à jour Apple lourdes ?

En fait, ces mises à jour Apple ne sont plus aussi contraignantes et lourdes qu’auparavant.

Beaucoup d’utilisateurs Apple, se sont impliqués sérieusement dans la sécurité, ces 5 dernières années. Un changement que nous réjouis vraiment.

Cependant, vous trouverez encore des fans de Mac et d’Apple, qui continueront de nier que les risques, provenant de malwares, et encourus par les utilisateurs de Windows et Office, pourraient s’appliquer aussi à OS X !

Parfois, ils diront même qu’OS X est “fiable par construction”, du fait de sa base BSD Unix, alors que Windows lui ne l’est par, car Microsoft a été construit de zéro, sans s’appuyer sur l’existant.

D’autres encore, vous diront que les virus et les malwares, sur OS X, peuvent être facilement évités car “nous ne sommes pas administrateur par défaut”. Ainsi, à partir du moment où les utilisateurs agissent de manière réfléchie, en saisissant leurs mots de passe pour autoriser des changements au niveau du système, ils sont en sécurité.

Aucun de ces arguments n’est valable.

Plutôt similaires que différents

Windows et OS X sont plus similaires que différents. Du moins, dans l’architecture de leur système d’exploitation et la manière de le subdiviser, à savoir un noyau avec un code avec des privilèges élevés, appelé Kernel, et une série de processus, ou programmes, qui tournent dans ce que l’on appelle .

En 1988, avant l’existence de Windows sous sa forme actuelle, internet avait été ravagé par un virus connu sous le nom de Morris Worm, qui forçait automatiquement l’entrée au sein d’ordinateurs sous Unix, et ce dans le monde entier. Il les infectait, et se propageait ainsi de victime en victime.

Windows a dû attendre le 21ème siècle, et le virus Code Red, pour expérimenter une attaque similaire.

De toute façon, même un système sensé être “fiable par construction”, n’est pas forcément sécurisé en pratique. Comme un pistolet peut ne plus être fiable, à partir du moment où l’on commence à jouer avec tous les loquets et autres leviers qui s’y trouvent.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Une vulnérabilité exploitée par Morris Worm, était une erreur au niveau du sysadmins, qui faisait tourner ses serveurs email avec l’option spécifique debug-only activée. Le virus pouvait, par construction, envoyer des commandes système à l’intérieur d’un email, et le serveur lançait intentionnellement ses commandes en mode root, le compte le plus puissant dans l’espace utilisateur.

[/vc_message][/vc_column][/vc_row]

Les Macs, comme la plupart des ordinateurs, n’exigent de mot de passe administrateur pour travailler sur ses propres fichiers. D’où l’intérêt d’avoir des comptes avec des niveaux de privilèges différents : vous pouvez travailler sur vos fichiers, sans mettre inutilement en danger les fichiers d’autres utilisateurs (ou des fichiers système).

Si vous pouvez éditer, envoyer par mail, crypter ou effacer vos propres fichiers, en utilisant certaines fonctions proposées par des applications, et ce sans mot de passe requis, vous pouvez aussi accidentellement altérer, divulguer ou bien perdre vos propres données personnelles.

Ainsi, les malwares qui fonctionnent avec votre niveau de privilèges, peuvent faire exactement la même chose et délibérément, encore une fois sans mot de passe requis.

En d’autres mots, des bugs exploitables dans des applications telles que Keynote, Pages et Numbers, en chargeant des documents, vous mettent en danger, de la même manière que les bugs suivants : Stagefright et Stagefright 2 l’ont fait pour les utilisateurs Android (les bugs dans Stagefright impliquaient des vidéos piégées et des fichiers musicaux).

Enfin, ces bugs peuvent être utilisés par des hackers pour attaquer des utilisateurs Word, de la même manière que des kits d’exploits, tels que Angler ou encore Microsoft Word Intruder.

En résumé : installer les mises à jour le plus tôt et le plus souvent possible !

mises à jour apple

Billet inspiré de : “Apple updates iMovie and iWork – but the iWork fixes are more than cosmetic” par Paul Ducklin de Naked Security

Partagez “Mises à jour Apple pour iWork et iMovie” avec http://wp.me/p2YJS1-29a

Leave a Reply

Your email address will not be published.