mise à jour ios
Produits et Services PRODUITS & SERVICES

Mise à jour iOS : un patch KRACK et Wi-Fi zero-day pour iPhone le même jour !

Apple vient de publier plusieurs mises à jour, dont une mise à jour iOS vers la version 11.1, avec des correctifs de sécurité pour Siri et Messenger, des correctifs pour des vulnérabilités d'exécution de code arbitraire au niveau de WebKit et du noyau.

Hier, Apple a offert à ses clients un certain nombre de mises à jour concernant plusieurs produits, dont une mise à jour iOS vers la version 11.1, contenant des correctifs de sécurité pour les bugs dans Siri et Messenger, ainsi que des correctifs pour des vulnérabilités d’exécution de code arbitraire au niveau du moteur du navigateur WebKit, ainsi qu’au niveau du noyau.

N’importe qui en possession d’un iPhone 5s, iPad Air ou ultérieur, peut appliquer cette mise à jour iOS. Ainsi, si votre iDevice est connectée, je vous encourage à le faire immédiatement.

Néanmoins, la grande nouveauté est que cette mise à jour iOS 11.1 inclut également la correction d’une vulnérabilité liée au Wi-Fi, et connue sous le nom de KRACK, qui est disponible pour certains appareils sous iOS, mais pas pour tous. Le CVE qu’Apple a publié avec son correctif pour KRACK se nomme CVE-2017-13080, l’un des nombreux CVEs liés à KRACK.

La nouvelle encore plus importante concerne ce qu’Apple n’a pas encore traité : une faille Wi-Fi zero-day dans iOS (oui, encore une !) qui a émergé hier durant la concours annuel “Mobile Pwn2Own hacking“. Les détails se font rares, mais Zero Day Initiative rapporte que :

Tencent Keen Security Lab a obtenu l’exécution de code via un bug Wi-Fi et a pu élever les privilèges pour continuer à le faire après un redémarrage.  

Tencent Keen Security Lab a gagné 95 000€ pour cette découverte, tandis qu’Apple n’a plus que 90 jours pour régler ce problème au niveau de nos iPhones, avant que les détails concernant cette faille ne soit rendus publics.

Selon la documentation officielle d’Apple, le correctif KRACK ne s’applique qu’aux iPhone 7s, iPad Pro 9.7 (début 2016) et aux versions antérieures.

Nous ne savons pas pourquoi le correctif KRACK n’est disponible que pour les nouvelles iDevices. Il est possible qu’un correctif pour les périphériques antérieurs soit encore en cours de développement, ou peut-être qu’Apple a considéré que ces anciennes versions ne sont pas vulnérables vis-à-vis de KRACK.

De toutes les façons, si vous êtes utilisateur d’un iPhone antérieur à la version 7, gardez les yeux grands ouverts concernant une mise à jour iOS en provenance d’Apple, juste au cas où !

Plusieurs mises à jour de sécurité MacOS sont sorties en même temps que la mise à jour iOS, notamment des correctifs concernant la vulnérabilité KRACK Wi-Fi, une vulnérabilité TLS 1.0, plusieurs vulnérabilités d’accès à la mémoire et d’exécution de code arbitraire, des vulnérabilités au niveau du noyau, ainsi que des correctifs pour au moins 90 (oui, oui, quatre-vingt-dix !) CVEs liées à des problèmes de type tcpdump.

Les utilisateurs d’El Capitan (macOS 10.11.6) et de Sierra (10.12.6) doivent installer les dernières mises à jour de sécurité du système d’exploitation, 2017-004 pour El Capitan, 2017-001 pour Sierra. Les utilisateurs de High Sierra (10.13) doivent passer à la version 10.13.1 pour recevoir ces correctifs (désolé pour les utilisateurs de Yosemite : la dernière mise à jour de sécurité pour vous, 2017-003, date de juillet dernier !).


Billet inspiré de iPhones get a KRACK patch and a Wi-Fi 0-day on the same day, sur Sophos nakedsecurity.