Google poursuit sa croisade anti-zero-day et vient de publier coup sur coup trois failles inédites pour Mac OS X, avec à la clé des codes d’exploitation. Le géant du Net les a classés comme étant critiques (« high severity »), même si elles ne peuvent pas être exploitées à distance.
En effet, elles permettent des intrusions assez graves : injection de code arbitraire dans le sous-système réseau, accès aux privilèges root, écriture dans la mémoire du noyau. Elles pourraient donc être utilisées dans le cadre d’attaques plus complexes.
Comme à son habitude, Apple, de son côté, n’a donné aucune information à ce sujet. Pourtant, la firme de Cupertino est évidemment parfaitement au courant, car Google prévient systématiquement les éditeurs concernés et leur laisse – grand seigneur – un délai généralement compris entre 60 et 90 jours pour corriger le bug. Un processus que certains fournisseurs trouvent un peu rigide, mais qui a l’avantage de les inciter à corriger rapidement leurs codes.
Microsoft aussi a été récemment confronté à cette nouvelle stratégie de sécurité de Google, mise en place en juillet 2014 (« Project Zero »). Les hackers du Googleplex ont découvert et dévoilé deux failles zero-day dans Windows 8.1. Mais la firme de Redmond n’a pas du tout apprécié cette façon de faire, et l’a fait savoir dans une lettre ouverte à Google. Selon elle, le délai est trop court et profiterait au final aux cybercriminels.
Lire aussi :
Thunderstrike, l’attaque qui pourrait plomber votre Mac… à jamais, le 31/12/2014
Source :
Les trois failles zero-day (130, 135, 136)
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
