Vulnérabilité 0day dans le gestionnaire de mots de passe de macOS

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3870
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Vulnérabilité 0day dans le gestionnaire de mots de passe de macOS

Message par charles » 07 févr. 2019 08:40

La vulnérabilité baptisée KeySteal, découverte par le jeune chercheur Allemande de 18 ans Linus Henze, permet d'extraire le contenu du trousseau de clés / gestionnaire de mots de passe intégré nativement dans macOS. L'exploit a été confirmé par un autre chercheur, Patrick Wardle qui avait déjà découvert une vulnérabilité équivalente en 2017.
Voici une vidéo de démonstration du Poc :



Le Poc, n'est pas encore disponible sur le GitHub du jeune chercheur : https://github.com/LinusHenze
Les détails n'ont pas non plus été révélés à Apple, car la société ne propose pas de programme de Bug Bounty pour macOS actuellement.
Le géant américain finira-t-il par sortir le porte monnaie pour récompenser le travail du chercheur et mettre la main sur ce Poc ?
Linus Henze trouvera-t-il un meilleur acheteur ?

Suite au prochain épisode...

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »