Apple a publié ses mises à jour de sécurité de janvier, corrigeant une liste de failles CVE, en grande partie partagées, affectant iOS et macOS, avec quelques modifications pour Safari, watchOS, tvOS et iCloud pour Windows.
iOS v12.1.3
Cette dernière version corrige une liste considérable de CVE pour l’iPhone 5s et ultérieur, ainsi que pour l’iPad et l’iPod Touch 6ème génération. Presque toutes ont été signalées à Apple par des chercheurs externes.
CVE-2019-6200, une faille Bluetooth pour l’exécution de code à distance (RCE), et CVE-2019-6224, un autre RCE qu’un attaquant pourrait exploiter via FaceTime, figurent parmi les plus intéressants.
Les correctifs du moteur de navigateur WebKit constituent neuf autres CVE, y compris CVE-2019-6229, qui pourraient permettre la création de cross-site scripting via une page web malveillante.
Les failles au niveau du noyau représentent six autres CVE, qui permettraient toutes, à un attaquant capable d’introduire une application malveillante au niveau d’Apple, d’élever les privilèges, de contourner la sandbox ou d’exécuter du code malveillant.
La mise à jour Apple devrait apparaître sans aucune intervention ou bien vous pouvez vérifier manuellement en cliquant sur Paramètres > Général > Mise à jour de logicielle.
macOS v10.14.3 Mojave
Également appelée Mise à jour de sécurité 2019-001 pour Sierra et High Sierra, la plupart des CVE mentionnées dans la mise à jour Apple iOS v12.1.3 apparaissent également ici, y compris celles pour BlueTooth, FaceTime, WebRTC, CoreAnimation, SQLite, IOKit et celles affectant le noyau.
CVE-2018-4452, une faiblesse RCE affectant le pilote graphique Intel, et CVE-2018-4467, qui pourraient générer un problème d’élévation de privilèges affectant l’hyperviseur du système d’exploitation, sont spécifiques à macOS Sierra/High Sierra.
CVE-2019-6220, une faille hors-périmètre dans QuartzCore qui pourrait permettre à un attaquant de lire de la mémoire restreinte, concerne toutes les versions.
La mise à jour Apple peut être lancée via Préférences Système > Mise à jour du logicielle. Si vous n’avez pas cliqué sur la case marquée, “Mettre à jour automatiquement mon Mac” , cela peut être une bonne idée de le faire maintenant !
Enfin, la mise à jour Apple ne serait pas complète sans un correctif pour Safari, qui se voit affecté la CVE-2019-6228, corrigeant ainsi une vulnérabilité cross-site scripting avec une meilleure validation des URL dans le Reader du navigateur.
Des mises à jour Apple sont également disponibles pour iCloud sous Windows (v7.10), watchOS (v5.1.3) et tvOS (v12.1.2).
Billet inspiré de Update now! Apple releases first 2019 iOS and macOS patches, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.