Le nouveau système d'exploitation (Mac OS X Lion) accepte n'importe quel mot de passe pour les annuaires LDAP. Apple n'a pas corrigé la faille qui menace sérieusement les réseaux d'entreprise.
Sur le dernier système d'exploitation pour Mac, Lion, sorti le mois dernier, les utilisateurs ont rencontré d'un problème concernant l'authentification LDAP : "l'OS accepte aveuglément n'importe quel mot de passe".
Sur le dernier système d'exploitation pour Mac, Lion, sorti le mois dernier, les utilisateurs ont rencontré d'un problème concernant l'authentification LDAP : "l'OS accepte aveuglément n'importe quel mot de passe".
Le problème n'est pas mince : les serveurs LDAP peuvent contenir des informations sensibles, et ils sont pour cela souvent une cible privilégiée pour des pirates. "C'est une vulnérabilité très grave, et qui démontre en outre que les scénarios de déploiement en entreprise n'ont pas fait partie des tests réalisés par Apple avant de commercialiser son OS", fait remarquer Alex Stamos, un expert en sécurité d'iSEC Partners.
Un premier rapport de bug a été envoyé à Apple le 25 juillet, cinq jours après la commercialisation de Lion. La faille n'a toujours pas été corrigée en dépit de la sortie d'un patch la semaine dernière.
Nous vous proposons de lire aussi