Non, les lecteurs de CNIS ne sont pas frappés d’amnésie : la faille CVE-2012-0507 a bien été immatriculée le premier janvier dernier, puis colmatée par le ban et l’arrière-ban de l’industrie logicielle. En premier lieu par Oracle, mais également par Microsoft dont le correctif date de plus de 6 semaines et qui a notamment publié une intéressante analyse d’exploitation. Car exploit il y a, et même intégration dans au moins un « kit de fabrication de malware » baptisé Blackhole. Plusieurs éditeurs d’antivirus ont prévenu de l’existence d’un exploit visant spécifiquement les Macintosh, notamment F-Secure et Dr Web, ce dernier estimant que le nombre de machines Apple infectées à ce jour frise le demi-million. Information à classer dans la catégorie « choses improbables » par le département marketing « anti-antivirus » de Cupertino.
Le niveau de risque ayant donc dépassé le onzième barreau sur une échelle de Richter en comptant 10, Apple a décidé de publier un bouchon adapté pour deux versions de ses noyaux. Dire que l’application dudit patch est urgente et nécessaire est un doux euphémisme.
Rappelons que la semaine passée, une série de 6 failles avait été colmatée dans le navigateur Opera pour OSX. Les 6 trous de sécurité sont détaillés dans le « changelog » d’Opera 11.62 (http://www.opera.com/docs/changelogs/mac/1162/), lequel corrige ces erreurs.