Si vous possédez un logiciel ou un périphérique Apple, vous devriez vérifier si une mise à jour est disponible. En effet, cette semaine, Apple a mis à disposition un certain nombre de correctifs de sécurité par le biais de mises à jour générales majeures pour un bon nombre de ses produits, y compris certains fonctionnant sous Windows, en offrant de nouvelles versions pour les produits suivants :
- iOS 12.1
- Safari 12.0.1
- macOS Mojave 10.14.1 (les versions antérieures de macOS recevront les mises à jour via Security Updates 2018-001 High Sierra ou 2018-005 Sierra).
- watchOS 5.1
- tvOS 12.1
- iCloud pour Windows 7.8
- iTunes 12.9.1
Les mises à jour macOS contiennent des correctifs de sécurité pour 71 CVEs, dont 19 d’entre elles permettaient potentiellement l’exécution de code arbitraire au niveau du système ou du noyau, et six autres permettaient le lancement d’attaques par déni de service. Toutes les CVEs mentionnées ne sont pas présentes dans chaque version du système d’exploitation, mais certaines d’entre elles concernent tout de même plusieurs versions, et certains bugs au niveau du noyau affectent toutes les versions.
La mise à jour iOS 12.1 traitent 32 CVEs le concernant, dont plusieurs corrigent une vulnérabilité de corruption de mémoire de niveau critique dans WebKit qui, si elle était exploitée, pouvait permettre l’exécution de code arbitraire, éventuellement à distance, via du contenu web malveillant.
Apple est plutôt très discret sur les éventuelles conséquences suite à ces CVEs ou sur le fonctionnement réel de cette attaque, mais étant donné qu’il s’agit d’une vulnérabilité de niveau critique et qu’il existe un correctif, il serait bon d’installer la mise à jour dès que vous le pourrez. La mise à jour iOS 12.1 corrige également une vulnérabilité de scripting cross-site dans Safari.
Ces mises à jour sont toutes sorties le même jour que la dernière annonce faite concernant la rationalisation de la gamme de produits d’Apple, qui inclut des versions mises à jour de version de l’iPad Pro et du MacBook Air. Avec cette annonce, Apple a également présenté de nouvelles informations en matière de protection concernant sa puce T2 axée sur la cybersécurité, qui est utilisée par le MacBook Pro depuis 2018 et qui sera également présente dans les dernières versions du Air.
Tout périphérique Apple, doté de la puce T2 et muni d’un capot (écran) pouvant s’ouvrir et se fermer, bénéficiera désormais d’une déconnexion matérielle garantissant la désactivation du micro lors de la fermeture du capot. Donc, si un attaquant veut écouter un utilisateur peu méfiant, même si quelqu’un a un accès de type root à une machine, la fermeture du capot l’arrêtera.
Il semble parfois que le débrancher restera, tout de même, la meilleure solution !
Billet inspiré de Update now! Apple releases security fixes for iOS, MacOS, Safari, others, sur Sophos nakedsecurity.