10 mois après avoir été découvert, ce bug existe toujours sur macOS
Apple n’a jamais pris le temps de corriger cette faille de sécurité malgré les relances d’un développeur.
En octobre 2022 Jeff Johnson détecte et signale un bug de sécurité dans macOS Ventura à Apple. L’idée est de faire remonter le problème à la firme de Cupertino pour qu’elle le règle à l’aide d’une mise à jour dans les semaines qui suivent. Cette pratique est en réalité assez courante et de nombreux développeurs font remonter des soucis à Apple tous les jours.
Mais après des mois d’attente, Jeff Johnson explique qu’il n’a plus « foi en Apple pour résoudre le problème ». Ce qui est étonnant c’est que le développeur est cité par les équipes d’Apple dans la liste des personnes qui ont aidé la marque à la pomme à améliorer ses services.
Apple aurait donc bien conscience du problème, mais n’aurait pas souhaité le résoudre lorsqu’i lui a été présenté en octobre dernier. Une attitude très étrange qui contraste avec la politique d’Apple sur les bug Bounty de manière générale. La firme de Cupertino est en effet connue pour être une entreprise fiable pour les développeurs qui peuvent même récupérer un beau chèque après la découverte d’un bug d’importance sur un des logiciels de la Pomme.
Un souci de sécurité majeur ?
Dans le cas de Jeff Johnson, le développer annonce avoir découvert une faille capable de modifier des données à partir d’une application sandboxée. Ces dernières sont isolées du reste de l’ordinateur et ne peuvent, sur le papier, ne pas communiquer avec le reste de l’ordinateur.
Ce souci de code ne semble pas inquiéter Apple qui laisse le bug à la vue de tous. Il est toujours possible d’utiliser cette faille avec les dernières versions de macOS Ventura. Il sera intéressant de voir dans quelques semaines si le problème est toujours présent sur macOS Sonoma, la prochaine édition du système d’exploitation pour Mac.
En attendant, il est possible d’essayer la faille de sécurité grâce à un projet Xcode créé par Jeff Johnson. Vous pouvez l’ouvrir en cliquant sur ce lien.