Sécurité

Apple lance sa toute première mise à jour de sécurité automatique et silencieuse sur Mac OS X pour corriger le bogue NTP

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Apple a publié sa toute première mise à jour de sécurité automatique et silencieuse pour les utilisateurs de Mac OS X, corrigeant une vulnérabilité dans NTP qui aurait permis aux pirates de transformer les Mac en zombies DDoS. À certains égards, cela amène finalement Apple à parité avec Microsoft : Windows a techniquement eu la capacité de faire des mises à jour automatiques pendant longtemps, bien qu’il soit très rare de les voir effectuées pendant qu’un système est en cours d’utilisation – généralement Windows attend que vous éteignez-le pour redémarrer avant d’installer les correctifs. Plutôt impressionnant, le correctif de sécurité OS X devrait s’installer de manière transparente, sans avoir besoin de redémarrer.

La semaine dernière, des Googleurs ont découvert quelques vulnérabilités dans le Network Time Protocol (NTP), y compris une vulnérabilité de débordement de tampon qui permet à un attaquant de exécuter un code malveillant sur un système distant. La plupart des systèmes d’exploitation de type Unix (Linux, BSD, OS X, etc.) utilisent NTP pour synchroniser leurs horloges – le nombre exact de systèmes vulnérables n’est pas connu, mais nous parlons presque certainement de millions d’ordinateurs, y compris des Mac exécutant OS X 10.8, 10.9 et 10.10.

Correctif OS X NTPDans tous les cas, Apple a pensé que c’était une bonne occasion d’essayer le mécanisme de correction silencieuse automatique d’OS X. La fonctionnalité est présente dans OS X depuis au moins deux ans, mais Apple dit que c’est la première fois il a déjà été utilisé. Je ne sais pas si cela indique l’approche assez lente et paresseuse d’Apple en matière de sécurité, ou simplement une pénurie de vulnérabilités. Même si OS X gagne en popularité, il reste pâle par rapport à la pénétration du marché de Windows – alors que Microsoft se bat constamment pour assurer la sécurité de Windows, il est relativement rare de voir des pirates ou des chercheurs cibler OS X, et donc nous en voyons généralement très peu correctifs de sécurité d’Apple.

Psssssst :  Qu'est-ce que le bug Heartbleed et comment vous pouvez vous protéger (et protéger vos serveurs) - High-teK.ca

Lis: Windows 10 contre OS X Yosemite : le bureau compte toujours

Selon Apple PR, la mise à jour de sécurité (qui est en cours de déploiement) « est transparente. Il ne nécessite même pas de redémarrage. Apparemment, lorsque ce sera à votre tour de recevoir la mise à jour, elle se téléchargera et s’installera automatiquement — la première chose que vous saurez à ce sujet est une boîte de confirmation après le patch s’installe, vous indiquant que c’était un succès. Si vous ne souhaitez pas attendre la mise à jour automatique, vous pouvez la télécharger manuellement à partir de l’onglet Mises à jour du Mac App Store.

Ordinateurs de bureau OS X Yosemite contre Windows 10

OS X Yosemite contre Windows 10

Autant que je sache, les fenêtres a eu le aptitude pour installer automatiquement et silencieusement les mises à jour pendant longtemps (probablement depuis Windows 2000 ou Vista), mais il est très rare que Microsoft l’utilise réellement. Microsoft/Windows préfère télécharger les mises à jour automatiquement, puis les installer au moment opportun suivant, généralement lorsque vous arrêtez ou redémarrez. L’installation d’une mise à jour de sécurité pendant qu’un système est en cours d’utilisation peut être assez risquée : si vous êtes au milieu d’une tâche importante, et que soudainement le démon de mise à jour du système commence à voler des cycles de processeur et à broyer le disque dur, cela peut être plutôt ennuyeux. Vraisemblablement, Apple pensait que la vulnérabilité NTP était suffisamment grave pour justifier une installation silencieuse.

Espérons qu’Apple n’ait pas automatiquement poussé la mise à jour vers les systèmes OS X utilisés comme serveurs ou dans un environnement d’entreprise, ou il pourrait y avoir des administrateurs système plutôt contrariés demain matin.

Psssssst :  Vulnérabilité Zero-Day découverte dans l'application iPhone Mail - High-teK.ca

Maintenant lis: Le cœur de l’OS X d’Apple est-il en train de pourrir de l’intérieur ?

Bouton retour en haut de la page