Google dévoile des vulnérabilités d’OS X bientôt corrigées

Google vient de rendre publiques plusieurs vulnérabilités affectant OS X, dans le cadre de son projet zéro. Celles-ci ont été notifiées à Apple il y a plus de 90 jours et ne font toujours pas l’objet de correctifs disponibles pour tous. Google applique ainsi strictement sa politique de divulgation des vulnérabilités non corrigées.

L’une de ces vulnérabilités peut être utilisée pour obtenir des droits de superutilisateur sur la machine attaquée. Ces vulnérabilités seraient toutefois sur le point d’être corrigées par Apple, au moins pour les utilisateurs de la toute dernière mouture de son système d’exploitation, OS X Yosemite, comme le rapportent certains développeurs ayant accès à la version 10.10.2, actuellement en phase de test. Celle-ci doit également corriger une vulnérabilité affectant l’EFI des machines à la pomme. En fin d’année, un chercheur avait en effet fait la démonstration d’une attaquant permettant de substituer le code légitime de l’EFI par un code malicieux, tout en corrigeant la vulnérabilité exploitée pour interdire toute réversibilité.

Ce n’est pas la première fois que Google applique strictement la politique de divulgation de vulnérabilités non corrigées et découvertes dans le cadre de son projet zéro. Microsoft en avait fait les frais un peu plus tôt cette année. Google avait au passage déclenché la polémique avec l’application à la lettre, et automatique, de sa politique, sans tenir compte d’un contexte calendaire spécifique : entre Noël et le jour de l’An. Un internaute avait alors amèrement résumé : « exposer des vulnérabilités telles que celle-ci a d’importantes conséquences. Des personnes peuvent en être victimes et cela ne rapproche pas d’une solution », le tout alors que de nombreux salariés, tant chez Microsoft que chez Google, étaient probablement en congés.