Pour les utilisateurs Apple préoccupés par les vulnérabilités de sécurité Spectre et Meltdown au niveau du CPU, et désignées collectivement par F ** CKWIT, les dernières semaines ont été chargées et légèrement déroutantes d’un point de vue cybersécurité.
Tout d’abord, le 8 janvier, les utilisateurs de macOS High Sierra 10.13.2 ont reçu une mise à jour supplémentaire (applicable à Safari et à WebKit) sensée atténuer la vulnérabilité Spectre (CVE-2017-5753 et CVE-2017-5715).
Deux semaines plus tard, nous avons la mise à jour 2018-001, une série programmée de correctifs de sécurité dont un qui ciblait Meltdown (CVE-2017-5754), pour les utilisateurs de l’ancien macOS Sierra 10.12.6 ou OS X El Capitan 10.11.6.
En parallèle, iOS a reçu le même traitement, en décembre (pour Meltdown), alors que ce dernier était encore inconnu, puis de nouveau à la mi-janvier (pour Spectre), après avoir déjà fait parler de lui.
Remarque : Si vous avez besoin d’un rappel concernant les raisons pour lesquelles Meltdown et Spectre sont vraiment problématiques, lisez notre article sur notre blog sécurité.
Les dernières mises à jour de sécurité coïncident avec l’émission d’un avis plutôt déroutant par Intel, avertissant les fabricants de systèmes d’arrêter d’expédier une version de ses correctifs Meltdown et Spectre, après un certain nombre de signalements faisant état de redémarrages inutiles de certains systèmes.
Apparemment, les mises à jour de sécurité d’Apple n’intègrent pas le code d’Intel qui serait à l’origine de ce problème particulier, car l’avertissement s’adressait essentiellement aux systèmes premium utilisés principalement par les fournisseurs de services cloud.
Dans le noyau
Au sein du correctif 2018-001, mis en œuvre sur macOS High Sierra dans sa version 10.13.3, vous trouverez également quelques correctifs de sécurité au niveau du noyau, qui méritent toute votre attention.
Ces derniers incluent le défaut de validation de la mémoire (CVE-2018-4093) et le problème d’initialisation de la mémoire (CVE-2018-4090) dans High Sierra, signalé par le chercheur de Google Project Zero, Jann Horn, qui a contribué à la découverte de Spectre et Meltdown.
Viennent ensuite deux failles qui pourraient permettre à des malwares d’accéder à la mémoire restreinte (CVE-2018-4092 affectant toutes les versions bureau et CVE-2018-4097 affectant macOS High Sierra 10.13.2 et macOS Sierra 10.12.6).
Pour finir au niveau du noyau, nous avons une vulnérabilité de corruption de mémoire qui pourrait permettre à un programme malveillant d’exécuter du code avec les privilèges du noyau (CVE-2018-4082).
Et au-delà
Il existe plusieurs autres failles intrigantes, dont celle affectant l’exécution de code à distance (RCE) sur Sierra et High Sierra, découverte par une équipe de l’Université Yonsei de Corée du Sud (CVE-2018-4094), qui a mis en évidence qu’un “fichier audio malicieusement conçu pouvait permettre l’exécution de code arbitraire”.
Sans oublier trois failles WebKit dans High Sierra (CVE-2018-4088, CVE-2018-4096 et CVE-2018-4089, la dernière des deux présentes dans la liste de ce mois-ci a été découverte par le système OSS-Fuzzing de Google), et une au niveau du Wi-Fi (CVE-2018-4084, affectant toutes les versions bureau).
Les utilisateurs mobiles, quant à eux, ont obtenu iOS 11.2.5, qui corrige 13 CVEs, tandis que dans le cas du navigateur Safari, qui atteint la version 11.0.3, 3 CVEs sont traitées.
Une correctif iOS, à souligner, concerne la faille LinkPresentation “ChaiOS” récemment signalée (CVE-2018-4100), et qui pourrait permettre à un message texte malveillant de faire planter l’appareil (affectant ainsi le wrapping texte au niveau des pages, qui est également corrigée sur les versions bureau).
Enfin, pour les utilisateurs de Windows, vous trouverez également des correctifs de sécurité pour iTunes (Windows 7 et ultérieures) ainsi que pour iCloud sous Windows 7.3.
Billet inspiré de Apple offers another Meltdown fix for Mac users…, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.