Google révèle trois failles critiques dans Mac OS X

Google poursuit sa croisade anti-zero-day et vient de publier coup sur coup trois failles inédites pour Mac OS X, avec à la clé des codes d’exploitation. Le géant du Net les a classés comme étant critiques (« high severity »), même si elles ne peuvent pas être exploitées à distance.
En effet, elles permettent des intrusions assez graves : injection de code arbitraire dans le sous-système réseau, accès aux privilèges root, écriture dans la mémoire du noyau. Elles pourraient donc être utilisées dans le cadre d’attaques plus complexes.

Comme à son habitude, Apple, de son côté, n’a donné aucune information à ce sujet. Pourtant, la firme de Cupertino est évidemment parfaitement au courant, car Google prévient systématiquement les éditeurs concernés et leur laisse - grand seigneur - un délai généralement compris entre 60 et 90 jours pour corriger le bug. Un processus que certains fournisseurs trouvent un peu rigide, mais qui a l’avantage de les inciter à corriger rapidement leurs codes.

Microsoft aussi a été récemment confronté à cette nouvelle stratégie de sécurité de Google, mise en place en juillet 2014 (« Project Zero »). Les hackers du Googleplex ont découvert et dévoilé deux failles zero-day dans Windows 8.1. Mais la firme de Redmond n’a pas du tout apprécié cette façon de faire, et l’a fait savoir dans une lettre ouverte à Google. Selon elle, le délai est trop court et profiterait au final aux cybercriminels.  

source:01net