Bonne année, et bonne sécurité

Comme promis, le mois des bugs Apple a démarré. “You’re the PC now, Mac!“, écrit l’auteur avec humour sur le blog du projet. Apple n’a pour l’instant pas réagi, peut-être qu’ils ne rient pas aux éclats, peut-être qu’ils bossent déjà ! Pour rappel, le projet consiste à trouver des vulnérabilités dans le système et les applications d’Apple, et d’en publier une par jour durant tout le mois de janvier.

Ca a donc commencé lundi 1er avec une faille de Quicktime, dans la même veine que celle qui a déjà fait du bruit au sujet de MySpace. Une faille jusqu’ici connue permet d’exécuter du code Javascript au sein d’un fichier ou d’un lien Quicktime, l’exploit est ici poussé un peu plus loin comme cette fois n’importe quel code peut être exécuté (comme des commandes système). Ce serait potentiellement grave, si le hack ne dépendait pas trop de la machine cible. Pour l’instant, il doit presque être écrit spécifiquement selon l’ordinateur visé, et ce dernier doit avoir obtenu le fichier malintentionné quelque part.

Ceci étant dit…
Tous les systèmes ont des failles de sécurité. La sécurité d’un ordinateur ne dépend pas que de “patch”, OS X ou X, la différence n’est pas dans tel “plage mémoire” technique. La perspicacité d’un tel projet ne signifie pas grand chose, disons que c’est curieux et que la documentation en général est toujours bénéfique 🙂
Ce genre de faille dites “Buffer Overflow” (çàd, profiter d’une brèche d’application pour parler au système), est finalement très commune, mais rarement utilisable. Le scoop n’en est pas, souhaitons presque que les prochains bugs soient plus originaux, sinon l’auteur ferait mieux de :

– La faille en question
– Le blog du projet
– Quicktime et MySpace