Aucune version d'OS X n'est concernée (iOS non plus). Seule l'installation d'une application tierce ou d'une modification peut faire en sorte qu'un programme Mac ou OS X présente cette vulnérabilité/bogue dans la version 1.0.x d'OpenSSL.
Apple a déprécié OpenSSL sur OS X en décembre 2012, si ce n'est plus tôt. Aucune version d'OpenSSL qui est vulnérable à CVE-2014-0160 (a.k.a. le Le bogue Heartbleed )
Apple fournit plusieurs interfaces d'application alternatives qui offrent SSL aux développeurs Mac et a ceci à dire sur OpenSSL :
OpenSSL ne fournit pas une API stable d'une version à l'autre. Pour cette raison, bien que OS X fournisse des bibliothèques OpenSSL, les bibliothèques OpenSSL dans OS X sont dépréciées, et OpenSSL n'a jamais été fourni dans le cadre d'iOS. L'utilisation des bibliothèques OpenSSL d'OS X par les applications est fortement déconseillée.
Plus précisément, les dernières version d'OpenSSL fournie par Apple est OpenSSL 0.9.8y 5 févr. 2013 qui ne semble pas avoir le bogue des versions plus récentes d'OpenSSL reporté dans le code de la version d'Apple de la bibliothèque.
Le PDF de cette documentation contient des conseils clairement rédigés à l'intention des développeurs et des sections utiles pour les professionnels ou les utilisateurs soucieux de la sécurité.
En considérant ceci, le seul problème restant serait des logiciels supplémentaires qui ont été construits contre OpenSSL, par exemple plusieurs dans Homebrew ( brew update suivi par brew upgrade ) ou MacPorts ( port self update suivi par port upgrade openssl ) pour mettre à jour la version 1.x d'openSSL.
Vous pouvez également utiliser mdfind/mdls pour vérifier les fichiers nommés openssl au cas où vous auriez d'autres applications qui regroupent cette bibliothèque comme le recommande Apple plutôt que de dépendre de la version "sûre" qu'Apple fournit toujours avec OS X.
for ff in `mdfind kMDItemFSName = "openssl"`; do echo "#### $ff"; mdls $ff | grep kMDItemKind; done
0 votes
Ce problème concerne davantage les serveurs web que les clients qui s'y connectent. Vos informations peuvent être compromises même si votre machine ne dispose pas de la version Heartbleed d'OpenSSL.
1 votes
@Mark c'est vrai, mais que se passe-t-il quand quelqu'un veut lancer une application qui transforme sa machine en serveur web, et utilise la version intégrée d'OpenSSL ? Les applications Mac ne le sont peut-être pas tant que ça, mais c'est pourquoi j'ai posé la question du serveur OS X également. Les mobiles sont susceptibles d'être plus affectés car beaucoup d'applications mobiles essaient d'implémenter cette fonctionnalité.
0 votes
Cependant, toute cette question passe largement à côté du fait que ce ne sont pas les machines clientes qui sont en danger, mais les serveurs. Si vous accédez à un serveur qui a été compromis, peu importe que vous utilisiez MacOS X ou Windows 95, vous accédez à un serveur qui peut divulguer toutes les informations qu'il possède sur vous. Cela n'a d'intérêt que si vous utilisez votre propre Mac comme serveur.
0 votes
-1,
...the whole question largely misses the point that it isn't client machines that are in danger...Ce n'est pas tout à fait vrai ; je demande spécifiquement les versions du serveur et cela a été mentionné. aquí sur la possibilité que les machines clientes soient vulnérables. Ce n'est pas non plus une vraie réponse, elle aurait dû être un commentaire à la question.2 votes
C'est faux. L'exploit peut être utilisé par serveurs malveillants contre qui utilisent OpenSSL pour établir la connexion.
3 votes
Il n'y a aucune raison pour que vous ne puissiez pas poser une autre question sur le point qui vous semble manquer. Cette question-réponse est étroite et se concentre sur les versions d'OS X dont le contenu de la mémoire pourrait être exposé au réseau par un bogue de programmation. Il ne s'agit pas d'une évaluation générale des risques pour tout utilisateur de Mac, ni même d'une vue d'ensemble.