Apple met à jour GarageBand sur macOS pour corriger une grosse faille de sécurité
Cela n’est pas si fréquent, mais il est bon de voir qu’Apple se montre toujours plus réactif lorsqu’il s’agit de patcher certaines failles de sécurité. La dernière mise à jour de GarageBand dans sa version macOS corrige une faille dénichée par le spécialiste Tyler Bohan, un développeur de Cisco Talos.
La faille était plutôt du genre « gouffre ouvert sur les abîmes » puisqu’elle permettait de lancer du code malicieux à partir d’un simple fichier de projet GarageBand. Sur le plan technique, la faille permettait exploitait un soucis propre au format de fichier .band, ce dernier étant découpé en segments dont la longueur pouvait être contrôlée par l’utilisateur, et sachant qu’Apple n’avait pas inclus de contrôleur pour vérifier que chaque segment était de la « bonne » taille. Un pirate pouvait ainsi créer son propre fichier .band contenant du code caché malicieux, sans que le système n’y trouve à redire. Le patch de la mise à jour 10.1.6 fait en sorte que la taille des segments du fichier .band soit désormais vérifiée, ce qui interdit tout « rajout » de code (auquel cas le fichier refusera de s’ouvrir).
A priori, il ne semble pas que cette faille ait été exploitée jusqu’à maintenant; la mise à jour est donc avant tout préventive.