Apple a déployé cette nuit un correctif sur macOS High Sierra pour corriger la faille critique découverte en début de semaine. Il est bien entendu recommandé de l’installer au plus vite pour éviter de mauvaises surprises.
L’entreprise s’est montré une fois de plus réactive et c’est une excellente chose compte tenu de la dangerosité de cette faille. Elle permettait en effet à une personne mal intentionnée de prendre le contrôle total d’une machine sans nécessiter la moindre connaissance technique.
La vulnérabilité se trouvait du côté des préférences système.
macOS High Sierra : une faille qui n’est pas passée inaperçue
Il suffisait en effet de se rendre dans les options consacrées aux utilisateurs et aux groupes, de cliquer sur le cadenas et de saisir le nom d’utilisateur root sans mot de passe et de valider l’envoi à plusieurs reprises pour débloquer les droits administrateurs sur la machine et pouvoir ainsi accéder à tout son contenu sans aucune restriction.
Pour ne rien arranger, la vulnérabilité était également exploitable en passant par un logiciel de prise de contrôle à distance et il était également possible d’utiliser ce compte root depuis l’écran de connexion de l’ordinateur.
Si la faille a été rendue publique en début de semaine, son existence était connue depuis la mi-novembre et elle avait même été évoquée dans les forums de discussion de l’entreprise californienne dans le cadre de la résolution d’un problème touchant l’utilisateur d’un Mac.
Apple a été prompt à réagir cependant et la firme a immédiatement demandé à ses développeurs de travailler sur un correctif. En parallèle, la firme a également proposé une solution temporaire à ses utilisateurs, une solution visant à définir un mot de passe pour le compte incriminé.
Le patch a pour sa part été déployé durant la nuit et il est disponible dès à présent dans l’App Store sous le nom Security Update 2017-001. Inutile de le préciser, mais il sera préférable de l’installer sans attendre pour éviter les mauvaises surprises.
Apple a présenté ses excuses
Apple a également tenu à présenter ses excuses en publiant un communiqué sur plusieurs de ses sites, communiqué qui a également été adressé à la presse spécialisée :
“Lorsque nos ingénieurs spécialisés dans le domaine de la sécurité ont constaté le problème”
J’adore ! Même pas ils vont assumés que ce sont des white/grey hat qui ont trouvé le truc… Ils tiennent à annoncer aux gens que c’est bien eux qui l’ont découvert… Pff !