Pomme
L’actualité fait le tour aujourd’hui, à la fois via un article dans Vice et un article du groupe d’analyse des menaces de Google, d’un bogue d’escalade de privilèges dans macOS Catalina qui était utilisé par un groupe « bien doté en ressources » et « probablement soutenu par l’État » pour cibler les visiteurs des sites Web pro-démocratie à Hong Kong. Selon Erye Hernandez de Google, la vulnérabilité (étiqueté CVE-2021-30869) a été signalé à Apple fin août 2021 et corrigé en Mise à jour de sécurité macOS Catalina 2021-006 le 23 septembre. Ces deux articles contiennent plus d’informations sur les implications de cet exploit – cela n’a pas été confirmé, mais il semble certainement que ce soit un autre front dans Les efforts de la Chine pour réprimer les libertés civiles à Hong Kong– mais pour nos besoins, concentrons-nous sur la façon dont Apple maintient ses systèmes d’exploitation à jour, car cela a des implications encore plus larges.
En apparence, cet incident est un exemple relativement banal de mises à jour de sécurité fonctionnant comme il se doit. La vulnérabilité est découverte dans la nature, la vulnérabilité est signalée à l’entreprise responsable du logiciel et la vulnérabilité est corrigée, le tout en l’espace d’un mois environ. Le problème, comme l’a noté Joshua Long, analyste en chef de la sécurité d’Intego, est-ce que le même CVE a été patché dans macOS Big Sur version 11.2, sorti depuis le 1er février 2021. C’est un écart de 234 jours, malgré le fait qu’Apple mettait et met toujours activement à jour les deux versions de macOS.
Pour le contexte : chaque année, Apple sort une nouvelle version de macOS. Mais pour le bénéfice des personnes qui ne souhaitent pas installer un nouveau système d’exploitation dès le premier jour, ou qui ne peut pas installer le nouveau système d’exploitation parce que leur Mac ne figure pas sur la liste du matériel pris en charge, Apple fournit des mises à jour de sécurité uniquement pour les anciennes versions de macOS pendant environ deux ans après leur remplacement.
Cette politique n’est énoncée nulle part, mais la chronologie informelle du support logiciel « N+2″ est en place depuis les tout premiers jours de Mac OS X (comme vous pouvez l’imaginer, c’était beaucoup plus généreux quand Apple est allé deux ou trois ans entre les versions de macOS au lieu d’un an). La supposition normale, et celle dont je prends en compte lorsque je fais des recommandations de mise à niveau dans nos revues annuelles de macOS, est que « pris en charge » signifie « pris en charge » et que vous n’avez pas besoin d’installer un nouveau système d’exploitation et de traiter les bogues du nouveau système d’exploitation uniquement. pour bénéficier des derniers correctifs de sécurité d’Apple.
Mais comme Long le souligne sur Twitter et sur le blog Intego Mac Security, ce n’est pas toujours le cas. Il a pris l’habitude de comparer le contenu de sécurité de différents correctifs macOS et a découvert qu’il existe de nombreuses vulnérabilités qui ne sont corrigés que dans les dernières versions de macOS (et on dirait iOS 15 peut être la même chose, bien que iOS 14 est toujours activement pris en charge avec les mises à jour de sécurité). Vous pouvez expliquer une partie de cette disparité : de nombreuses (mais pas toutes !) des vulnérabilités WebKit de cette liste étaient patché dans une mise à jour Safari séparée, et certains bogues peuvent affecter les nouvelles fonctionnalités qui ne sont pas réellement présentes dans les anciennes versions du système d’exploitation. Selon Hernandez, la vulnérabilité en cause ici ne semble pas affecter macOS Mojave, malgré l’absence de correctif. Mais dans le cas de ce bogue d’escalade de privilèges, nous avons un exemple d’une vulnérabilité activement exploitée qui était présente dans plusieurs versions du système d’exploitation mais qui n’avait été corrigée pendant des mois que dans l’une d’entre elles.
La solution simple à ce problème est qu’Apple devrait en fait fournir tous des mises à jour de sécurité pour tous des systèmes d’exploitation qu’il met activement à jour. Mais il est aussi temps de mieux communiquer sur ce sujet. Apple devrait préciser ses politiques de mise à jour pour les anciennes versions de macOS, comme le fait Microsoft, plutôt que de se fier à son calendrier de publication actuel, la dernière mise à jour de sécurité de macOS Mojave a été de retour en juillet, par exemple, ce qui signifie que même s’il était encore officiellement-officiellement soutenu jusqu’à Monterey a été libéré en octobre, il a manqué un tas de correctifs de sécurité publiés pour Big Sur et Catalina en septembre. Les gens ne devraient pas avoir à deviner si leur logiciel est toujours en cours de mise à jour.
Comme Apple laisse de plus en plus de Mac Intel derrière lui, il devrait également envisager de prolonger ces délais, ne serait-ce que pour le matériel Mac qui est littéralement incapable de passer aux nouvelles versions de macOS (il existe un précédent, car iOS 12 a continué à recevoir des mises à jour de sécurité pendant deux ans après avoir été remplacé, mais uniquement sur du matériel qui ne pouvait pas être mis à niveau vers iOS 13 ou une version plus récente). Il n’est pas raisonnable de s’attendre à ce qu’Apple prenne en charge les anciennes versions de macOS à perpétuité, mais les Mac parfaitement fonctionnels ne devraient pas être dans une situation où ils sont à deux ans (ou moins) d’être totalement non corrigés si Apple décide de les supprimer de la liste de support de cette année. .
