Month of Apple Bugs (MOAB)

Einbert

Membre expert
Club iGen
24 Avril 2001
1 239
20
Hello tout le monde,

Ce mois de janvier est sensé voir apparaître un certain nombre de faille visant notre chère OS . Deux chercheurs ont en effet annoncé un Month of Apple Bugs (MOAB) où ils veulent démontrer au mac users que notre plateforme n'est de loin pas autant à l'abri de failles de sécurité qu'on aimerait bien le croire. Les failles touchent bien entendu également Windows et parfois aussi Linux, tout dépend de l'application... Le projet MOAB peut se trouver à l'adresse suivante : http://projects.info-pull.com/moab/

Après la faille concernant QuickTime (j'en ai parlé ici), voici une faille concernant VLC. Cette faille permet également l'exécution de code arbitraire, comme c'était le cas avec la faille QuickTime. Il faut cependant noter que le code est lancé avec les droits de l'utilisateur; et comme bien sûr tous les Mac Users travaillent avec un compte non-admin, il ne devrait pas y avoir de soucis... Oups? :siffle: :rolleyes:

Un Workaround en attendant un correctif de la part de VLC est expliqué sur la page du projet MAB.

Il va très certainement y avoir de nouveaux posts dans ce thread :) ... Si l'on y croit les auteurs du projet :rateau:

Et pour les personnes qui pensent bientôt faire une nouvelle installation de leur OS, n'oubliez pas qu'il vaut mieux travailler avec un compte non admin, donc créer un compte admin avec lequel on ne fera que, ben oui, de l'administration :D .

Sources:
http://projects.info-pull.com/moab/MOAB-02-01-2007.html
http://www.heise.de/newsticker/meldung/83116/from/rss09
http://www.milw0rm.com/exploits/3070
 
Ça, c'est prévu pour la réinstallation de mon PowerBook avec Leopard ;)
 
Là encore, on nous parle d'une faille OS X qui est en fait une faille VLC (comme la précédente était une faille Quicktime) puisque valable sur les deux plate-formes, Mac et Windows.

Il est louable de faire progresser la sécurité et la fiabilité des systèmes, mais je trouve la méthode et l'argumentaire de ces gens pour le moins étrange. :siffle:

A vouloir à tout prix tenir un chalenge qu'ils se sont eux même imposés (une faille par jour, allez savoir pourquoi ? :confused: ), ils finissent par mélanger tout et n'importe quoi. Bientôt on aura la faille du conducteur routier qui écoute sont iPod sur une route de montagne par une nuit verglacée.

C'moon.

Et naviguez toujours prudents. ;)
 
La capote, c'est la seule solution sur internet :o

Tout à fait... Pour ma part, cela fait très longtemps qu'une capote est fixée sur mon antenne Wireless et une sur mon cable Ethernet :D .
 
Là encore, on nous parle d'une faille OS X qui est en fait une faille VLC (comme la précédente était une faille Quicktime) puisque valable sur les deux plate-formes, Mac et Windows.
Wii, mais cette faille VLC permet justement de faire exécuter du code sur OS X. Il faut toujours garder en tête que la sécurité n'est pas un simple processus à part entière, mais une chaîne de plusieurs processus; la sécurité de cette chaîne est aussi forte que son maillon le plus faible. En d'autre terme, même si nous avons un OS hyper sécurisé, les applications installées sur celui-ci doivent être au moins aussi sûr que l'OS lui-même (idéalement, cela devrait être indépendant).

A vouloir à tout prix tenir un chalenge qu'ils se sont eux même imposés (une faille par jour, allez savoir pourquoi ? :confused: )
En fait, leur but n'est pas de publier une faille par jour, mais plusieurs sur le mois de janvier.

La méthode est pour le moins discutable (même si parfois cela a du bon), car chacune de ses failles représentent la possibilité de voir fleurir des éventuelles 0-days attacks.
 
Wii, mais cette faille VLC permet justement de faire exécuter du code sur OS X. Il faut toujours garder en tête que la sécurité n'est pas un simple processus à part entière, mais une chaîne de plusieurs processus; la sécurité de cette chaîne est aussi forte que son maillon le plus faible. En d'autre terme, même si nous avons un OS hyper sécurisé, les applications installées sur celui-ci doivent être au moins aussi sûr que l'OS lui-même (idéalement, cela devrait être indépendant).


En fait, leur but n'est pas de publier une faille par jour, mais plusieurs sur le mois de janvier.

La méthode est pour le moins discutable (même si parfois cela a du bon), car chacune de ses failles représentent la possibilité de voir fleurir des éventuelles 0-days attacks.
D'accord avec toi. Et le plus dangereux serait de se croire invulnérables. Cette opération a au moins le mérite de maintenir éveillée notre vigilance.

Je reste prudent mais je ne peux me résoudre à passer sur un compte non-admi. :rose:
Comme quoi, la faille humaine n'est pas près d'être comblée. :D

C'moon et bonne année.
 
je me permets de recopier ici qui semble devenir le fil central sur MOAB ce que j'avais posté sur cette douteuse operation de promo d'ego d'hacker et /ou sous marin anti Apple
( dans le fil précedent d'einbert , fermé , pas fans des merges les modos Macg :D )

------------
ca fait partie d'une douteuse campagne " une vulnerabilité Apple par jour pendant un mois"
Quand je dis douteuse j'entends par là que des recherches de vulnérabilités par des hackers c'est courant et pas forcément malveillant.
Au contraire. Ca aide le développeur à corriger.

Mais là c'est étrange.

je rappelle que hackers est un terme , à l'origine , au sens neutre , détourné de son sens pour ne parler, à tort, que du hacking malveillant.

Ce sur quoi on peut s'interroger c'est sur le comportement de ce groupe là
Qui contrairement aux usages ( prevenir en privé le développeur pour mettre au point un patch)
là les annonces se font d'abord en public
leur justif est un peu lègère

point 4
4. Are the issues being reported to the vendor before public disclosure?

http://projects.info-pull.com/moab/
------------------
 
C'est sur que des que tu touches a quelque chose directement en rapport au web, tu es quand meme bien plus exposé :siffle:
 
C'est tuant de voir comment certaines personnes, on rien a faire de leur journée.
Toutes ces conneries donnent des idées à certains hackers.
Je trouve cette initiative tres interressante si elle etait realiser avec apple.
Mais la c'est la porte ouvert à tous et n'importe quoi.
 
Actu MacG a dit:
Landon Fuller n’a pas véritablement apprécié l’opération "Month of Apple bugs" (MAB). Cet expert de BSD et Mac OS X a décidé de répondre de la meilleure des façons aux initiateurs de ce projet. Il compte proposer un patch par jour afin de corriger les failles potentielles débusquées par l’équipe de MAB. On ne sait pas encore si il proposera un correctif pour la faille de ce jour. En effet, celle-ci concerne uniquement QuickTime sur Windows.
Je trouve ça plutôt bien de la part de ce mec, mais faut y arriver à sortir un patch par jour !!

Sinon il y arrive ça montre que la communauté Apple/Mac est plus forte que les virus, bug et autres maladies transmissibles par les bits. :p
 
Oui, mais cela donne en partie raison (on ne va pas s'en plaindre) à Kevin "poil à gratter" Finisterre qui trouve qu'Apple ne réagit pas assez vite à son goût aux failles de sécurité. :siffle:

D'ailleurs, la "faille" VLC est déjà corrigée chez Videolan.org. :zen:

Même si je trouve toujours que la méthode manque à l'étique, MOAB a déjà rempli un de ses buts avoués : secouer le landerneau.

C'moon.
 
Même si je trouve toujours que la méthode manque à l'étique, MOAB a déjà rempli un de ses buts avoués : secouer le lanterneau.

C'moon.

Ce que fait cette équipe là , d'autre le font mais sans cet esprit là.
De manière plus constructive. ( le hack propre)

Secouer le landerneau?
Estt ce vraiment cela le but de cette équipe là?
PUBLIER la faille et ne pas préalablement interagir avec le développeur?
Moi j'appelle pas ca"secouer le landerneau " j'appelle ca se faire mousser de maniere irresponsable
De la pure auto promo de blackhat .
 
Ce que fait cette équipe là , d'autre le font mais sans cet esprit là.
De manière plus constructive. ( le hack propre)

Secouer le landerneau?
Estt ce vraiment cela le but de cette équipe là?
PUBLIER la faille et ne pas préalablement interagir avec le développeur?
Moi j'appelle pas ca"secouer le landerneau " j'appelle ca se faire mousser de maniere irresponsable
De la pure auto promo de blackhat .
+1

Entièrement d'accord avec toi :zen:
 
Ce que fait cette équipe là , d'autre le font mais sans cet esprit là.
De manière plus constructive. ( le hack propre)

Secouer le landerneau?
Estt ce vraiment cela le but de cette équipe là?
PUBLIER la faille et ne pas préalablement interagir avec le développeur?
Moi j'appelle pas ca"secouer le landerneau " j'appelle ca se faire mousser de maniere irresponsable
De la pure auto promo de blackhat .
Je suis assez d'accord avec toi. Regarde bien ma formulation "un des buts avoués" et mes interventions précédentes.

J'essaye de ne pas être "plus royaliste que le pape et plus catholique que le roi" c'est-à-dire qu'Apple qui a déjà donné son avis sur cette opération, en saluant toute initiative visant à améliorer la sécurité d'OS X. L'ironie n'était certainement pas absente de ce communiqué de Cupertino.

Inutile de s'exciter sur ce non évènement, ce défit absurde qui a bien du mal à tenir ses promesse au bout de trois jours. :D

Si vraies failles il y a, elle seront comblées j'espère le plus rapidement possible.

C'moon.
 
ce défit absurde .

Pas si absurde
C'est même plutôt une bonne idée marketing afin de mettre la pression pour les correctifs

le truc nul est la publication en public

( et faut aussi que le défi fournisse des choses interessantes, pour l'instant c'est bof-bof, tout ca est décevant, en un sens , tant mieux :) )