Luttez contre le pwnage indésirable : installez la dernière mise à jour Apple

Bien qu’il s’agisse d’une version de maintenance, la mise à jour Apple de sécurité macOS Sierra 10.12.3 représente tout de même un téléchargement lourd de 1.05 Go.

NB : Le terme version de maintenance est une expression du jargon couramment utilisé qui se réfère au type de mise à jour qui provoque la plus petite modification au niveau de l’identificateur de version d’un produit, et donc probablement le moins de changement visuel et fonctionnel. Le numéro le plus à droite dans le numéro de version, comme dans notre cas macOS 10.12.2 passant à 10.12.3.

Néanmoins, nous pensons qu’il est nécessaire d’installer cette mise à jour Apple dès que la bande passante le permet, car les failles de sécurité traitées en valent la peine !

A l’heure actuelle, aucune vulnérabilité de bas niveau, comme celle décrite avec la syntaxe suivante : “une application permettant l’exécuter arbitraire de code au niveau du noyau”,n’ a été vue dans la nature.

Par contre, d’autres ont été trouvées et rapportées de façon responsable, par l’équipe Project Zero bug-hunting de Google, et par des participants au concours de hacking PwnFest 2016, qui a eu lieu en Novembre dernier en Corée du Sud.

PwnFest est un concours sponsorisé pour trouver les bugs les plus sérieux, avec de fortes récompenses à la clé pour rétribuer le travail fourni, qui est en général très lourd à mener pour contourner les protections des systèmes d’exploitation modernes et des applications.

Pour mémoire, Microsoft Edge, VMWare, Adobe Flash et le téléphone Pixel de Google avaient également été piratés avec succès lors du concours PwnFest, avec Safari sur MacOS. En fait, Edge et VMWare avaient été piratés deux fois, ce qui avait donné lieu à deux récompenses.

Soit dit en passant, la mise à jour Apple 10.2.1 pour iOS, résout beaucoup de bugs similaires à ceux fixés dans MacOS flavour au niveau du code source d’Apple.

En outre, la mise à jour Apple pour iPhone corrige deux problèmes de sécurité auxquels les périphériques mobiles font face systématiquement : à savoir, les bugs au niveau de l’écran de verrouillage !

Comme nous l’avons écrit plusieurs fois auparavant, les écrans de verrouillage aujourd’hui ne sont plus ce qu’ils étaient. En effet, les utilisateurs veulent pouvoir garder l’accès à certaines de leurs applications et autres fonctions, à partir de l’écran de verrouillage.

En d’autres termes, les écrans de verrouillage ne bloquent pas réellement votre téléphone car ils essaient de le faire fonctionner en mode restreint, souvent en s’appuyant sur des applications isolées, afin de modifier le comportement de ces dernières, suivant la manière avec laquelle les utilisateurs y ont accès.

Sans surprise, comme nous l’avons déjà mentionné dans le cas de ces fameuses bornes internet, qui mettent à disposition un ordinateur sous Windows ou Linux, enfermé dans un caisson, et offrent un accès à internet, ajouter de la complexité à une application déjà compliqué fini toujours mal !

Quoi faire ?

Si vous avez un iDevice, vous pouvez vérifier la disponibilité de la mise à jour Apple et éventuellement l’installer immédiatement en utilisant Paramètres|Général|Mise à jour logicielle.

Sur Mac, le plus rapide est de cliquer sur le menu Apple en haut à gauche, choisir À propos de ce Mac, puis cliquer sur le bouton [Mise à jour logicielle ...].

Rappelez-vous que les mises à jour de sécurité qui ne contiennent pas de zero-day (à savoir, le nom utilisé lorsque le patch arrive après qu’un nouveau bug soit activement utilisé) est le meilleur moyen pour prendre de l’avance sur les cybercriminels …

… et, en ce qui nous concerne, nous avons mis à jour iOS et MacOS, dès que nous avons reçu les bulletins de sécurité d’Apple, sans aucun problème apparent.

Jusqu’à présent tout du moins.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Luttez contre le pwnage indésirable : installez la dernière mise à jour Apple : http://wp.me/p2YJS1-3bY
Billet inspiré de Update your Mac and iPhone – and help stop unwanted pwnage, par, Sophos NakedSecurity.