Mises à jour urgentes : des correctifs de sécurité Apple disponibles pour iOS, MacOS, Safari, …

Cybersécurité

Cette semaine, Apple a sorti un certain nombre de correctifs de sécurité via des mises à jour générales majeures pour un bon nombre de ses produits, y compris certains fonctionnant sous Windows.

correctifs de securite apple

Si vous possédez un logiciel ou un périphérique Apple, vous devriez vérifier si une mise à jour est disponible. En effet, cette semaine, Apple a mis à disposition un certain nombre de correctifs de sécurité par le biais de mises à jour générales majeures pour un bon nombre de ses produits, y compris certains fonctionnant sous Windows, en offrant de nouvelles versions pour les produits suivants :

  • iOS 12.1
  • Safari 12.0.1
  • macOS Mojave 10.14.1 (les versions antérieures de macOS recevront les mises à jour via Security Updates 2018-001 High Sierra ou 2018-005 Sierra).
  • watchOS 5.1
  • tvOS 12.1
  • iCloud pour Windows 7.8
  • iTunes 12.9.1

Les mises à jour macOS contiennent des correctifs de sécurité pour 71 CVEs, dont 19 d’entre elles permettaient potentiellement l’exécution de code arbitraire au niveau du système ou du noyau, et six autres permettaient le lancement d’attaques par déni de service. Toutes les CVEs mentionnées ne sont pas présentes dans chaque version du  système d’exploitation, mais certaines d’entre elles concernent tout de même plusieurs versions, et certains bugs au niveau du noyau affectent toutes les versions.

La mise à jour iOS 12.1 traitent 32 CVEs le concernant, dont plusieurs corrigent une vulnérabilité de corruption de mémoire de niveau critique dans WebKit qui, si elle était exploitée, pouvait permettre l’exécution de code arbitraire, éventuellement à distance, via du contenu web malveillant.

Apple est plutôt très discret sur les éventuelles conséquences suite à ces CVEs ou sur le fonctionnement réel de cette attaque, mais étant donné qu’il s’agit d’une vulnérabilité de niveau critique et qu’il existe un correctif, il serait bon d’installer la mise à jour dès que vous le pourrez. La mise à jour iOS 12.1 corrige également une vulnérabilité de scripting cross-site dans Safari.

Ces mises à jour sont toutes sorties le même jour que la dernière annonce faite concernant la rationalisation de la gamme de produits d’Apple, qui inclut des versions mises à jour de version de l’iPad Pro et du MacBook Air. Avec cette annonce, Apple a également présenté de nouvelles informations en matière de protection concernant sa puce T2 axée sur la cybersécurité, qui est utilisée par le MacBook Pro depuis 2018 et qui sera également présente dans les dernières versions du Air.

Tout périphérique Apple, doté de la puce T2 et muni d’un capot (écran) pouvant s’ouvrir et se fermer, bénéficiera désormais d’une déconnexion matérielle garantissant la désactivation du micro lors de la fermeture du capot. Donc, si un attaquant veut écouter un utilisateur peu méfiant, même si quelqu’un a un accès de type root à une machine, la fermeture du capot l’arrêtera.

Il semble parfois que le débrancher restera, tout de même, la meilleure solution !


Billet inspiré de Update now! Apple releases security fixes for iOS, MacOS, Safari, others, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.