Dont acte, la firme à la pomme a fini par reconnaître les lacunes de son pare-feu applicatif intégré dans le tout récent Mac OS X 10.5. Des lacunes désormais réparées via une première mise à jour mais Mac OS X 10.4 et 10.3.9 n’ont pas été oubliés sur le plan de la sécurité avec la prise en charge d’une quarantaine de problèmes.

Un peu moins de trois semaines après sa sortie et des copies qui ont très vite trouvé preneurs, Mac OS X 10.5 est concerné par une première mise à jour et le Leopard de passer à la version 10.5.1. Cette version apporte des améliorations globales au système tant au niveau de la stabilité, de la compatibilité mais également de la sécurité. Sur ce dernier point, c’est principalement le pare-feu qui a subi l’action correctrice d’Apple après de nombreuses critiques à son égard; des critiques notamment formulées par le site allemand Heise Security apparemment fondées puisqu’elles ont été prises en compte.

La première mesure de la firme de Cupertino a donc été de renommer l’option Bloquer toutes les connexions entrantes du pare-feu qui avait été qualifiée de sans effet par Heise Security, en Autoriser seulement les services indispensables pour éviter toute confusion de la part de l’utilisateur. D’un point de vue pratique, dans le cadre de cette option, seul un nombre limité de processus sont autorisés à recevoir des connexions entrantes soit en l’occurrence configd (pour le protocole DHCP et d’autres protocoles de configuration réseau), mDNSResponder (pour Bonjour) et racoon (pour IPSec), précise Apple.

Mac OS X 10.5.1 règle également un problème selon lequel des processus s’exécutant en tant qu’utilisateur racine ( UID 0 ) ne pouvaient pas être bloqués malgré la demande explicite de l’utilisateur avec feu l’option Bloquer toutes les connexions entrantes, à partir du moment où le pare-feu était défini sur Définir l’accès aux applications et services spécifiques. Enfin, troisième et ultime problème réglé par cette mise à jour en ce qui concerne le pare-feu, la prise en compte effective des modifications apportées aux réglages de façon immédiate, sans la nécessité de redémarrer.

La veille de la sortie de Mac OS X 10.5.1, dans la lignée d’un Patch Tuesday à la Microsoft, Apple a par ailleurs publié une mise à jour de sécurité pour Mac OS X 10.4 et 10.3.9 afin de combler un nombre relativement conséquent de vulnérabilités exploitables en local et à distance, soit près d’une quarantaine en comptabilisant celles identifiées dans des applications tierces. Susceptibles d’être exploitées pour l’exécution de code arbitraire, pour causer un déni de service, contourner la politique de sécurité mise en place ou encore obtenir des informations sensibles, ces vulnérabilités affectent le plugin Flash Player, AppleRAID, AppleTalk, BIND, bzip2, CFFTP, CFNetwork, CoreFoundation, CoreText, IPv6, Kerberos, Kernel, remote_cmds, NFS, NSURL, Safari, SecurityAgent, WebCore et WebKit.