Apple publie une mise à jour de sécurité pour corriger un bug de connexion dans le système d'exploitation macOS High Sierra

Apple met à jour automatiquement les Macs pour corriger la vulnérabilité de connexion ‘root’

Apple a publié mercredi un correctif d’urgence qui a corrigé un bug de connexion embarrassant dans son système d’exploitation macOS 10.13.1 High Sierra.

La vulnérabilité a été révélée par un utilisateur mardi sur Twitter. Le défaut permettait à un utilisateur d’accéder en tant qu’administrateur au PC sans le mot de passe du propriétaire, simplement en utilisant ‘root’ comme nom d’utilisateur et en cliquant deux fois sur le bouton de déverrouillage pour entrer.

La vulnérabilité sérieuse a été identifiée comme CVE-2017-13872, qui a été corrigée par Apple via la mise à jour de sécurité 2017-001 pour macOS 10.13.1 mercredi. Bien que la mise à jour de sécurité soit maintenant disponible en téléchargement depuis le Mac App Store, Apple a déclaré qu’elle installerait également automatiquement le correctif sur tous les Macs exécutant macOS High Sierra 10.13.1. Cependant, si votre appareil exécute la version bêta 10.13.2, vous devrez probablement attendre la sortie de la prochaine version.

Voici le journal des modifications :

Disponible pour : macOS High Sierra 10.13.1

Non impacté : macOS Sierra 10.12.6 et antérieur

Impact : Un attaquant peut être en mesure de contourner l’authentification de l’administrateur sans fournir le mot de passe de l’administrateur

Description : Une erreur logique existait dans la validation des identifiants. Cela a été corrigé avec une validation améliorée des identifiants.

CVE-2017-13872

Le numéro de build pour macOS devrait être 17B1002 après l’installation de la nouvelle mise à jour, qui a été modifié de 17B48. Il ne nécessite pas de redémarrage.

Dans une déclaration faite à MacRumors, Apple s’est excusé pour la vulnérabilité :

« La sécurité est une priorité absolue pour chaque produit Apple, et nous avons malheureusement trébuché avec cette version de macOS.

« Lorsque nos ingénieurs en sécurité ont pris connaissance du problème mardi après-midi, nous avons immédiatement commencé à travailler sur une mise à jour qui ferme la faille de sécurité. Ce matin, à partir de 8 heures, la mise à jour est disponible en téléchargement, et à partir de plus tard dans la journée, elle sera installée automatiquement sur tous les systèmes exécutant la dernière version (10.13.1) de macOS High Sierra.

« Nous regrettons profondément cette erreur et nous nous excusons auprès de tous les utilisateurs de Mac, tant pour avoir publié avec cette vulnérabilité que pour l’inquiétude qu’elle a causée. Nos clients méritent mieux. Nous auditons nos processus de développement pour aider à prévenir que cela ne se reproduise. »

Source : Neowin