En effet, des mises à jour Apple viennent d’être publiées pour toute une gamme de produits, notamment macOS, qui passe à la version 10.14.4, et iOS, qui passe désormais à la version 12.2.
WebKit et au-delà
En termes de nombre, le composant système contenant le plus grand nombre d’entrées dans la liste des mises à jour Apple est le noyau du navigateur d’Apple, appelé WebKit, qui est concerné par 13 vulnérabilités associées à des CVE.
La plupart d’entre elles sont un mélange prévisible de cross-site scripting (CVE-2019-8551), de sortie de sandbox (CVE-2019-8562) et d’éléments qui vont à l’encontre de la sécurité au niveau de l’origine des cross-sites web (CVE-2019-8515).
Il existe aussi la petite curieuse CVE-2019-6222, à l’aide de laquelle :
Un site web peut éventuellement accéder au micro sans afficher l’indicateur d’utilisation de celui-ci.
CVE-2019-8554 est une autre vulnérabilité du même style. Un site web pourrait suivre les données de mouvement et d’orientation d’un utilisateur.
C’est un cas similaire à la faille de l’API ReplayKit, CVE-2019-8566, qui permet aux applications d’enregistrer depuis le micro d’un appareil sans que l’utilisateur ne s’en rende compte.
La plupart des utilisateurs ont sans doute conscience que les appareils peuvent être utilisés pour suivre leurs visites et leur comportement sur le web. Mais que les failles de sécurité au sein de ces appareils puissent étendre ce comportement malveillant à leurs conversations ou à leurs mouvements physiques semblent beaucoup plus effrayants.
Un dernier coup de projecteur sur iOS 12.2 avec CVE-2019-8553, une ancienne faille de sécurité dans GeoServices (géolocalisation des appareils). Selon Apple, elle pourrait permettre à des pirates de compromettre des appareils sans avoir besoin d’un navigateur :
Le fait de cliquer sur un lien SMS illicite peut conduire à une exécution de code arbitraire.
KeySteal
Le fait marquant parmi les 38 correctifs à destination des utilisateurs de macOS Mojave est que 10.14.4 (Mise à jour de sécurité 2019-002 High Sierra, Mise à jour de sécurité 2019-002 Sierra) corrige la faille KeySteal, un bug annoncé, mais non divulgué auprès d’Apple, par un jeune chercheur allemand âgé de 18 ans, Linus Henze, début février.
Semblable à une faille précédente appelée keychainStealer, celle-ci aurait pu permettre à une application malveillante de récupérer les mots de passe du gestionnaire de mots de passe Keychain d’Apple.
Dans un premier temps, Henze a déclaré qu’il allait garder la faille pour lui-même en signe de protestation contre le fait qu’Apple ne récompense pas les chercheurs avec des primes pour les vulnérabilités macOS.
Quelques jours plus tard, il a cédé et a décidé quand même d’envoyer les détails du bug à Apple.
FaceTime
Sans surprise, FaceTime fait l’objet d’un autre correctif traitant la vulnérabilité CVE-2019-8550, décrite par Apple comme suit :
La vidéo d’un utilisateur ne peut pas être mise sur pause lors d’un appel FaceTime si l’on quitte l’application pendant la sonnerie.
Au moins, cette vulnérabilité est relativement mineur comparée au correctif de février pour traiter CVE-2019-6223, une vulnérabilité FaceTime favorisant l’espionnage et qui avait provoqué une certaine panique quelques jours plus tôt.
Quoi faire ?
Pour vérifier que vous êtes à jour, en évitant les files d’attente et en recevant les mises à jour Apple immédiatement si on ne vous les a pas encore proposées :
- Sur un iPhone, accédez à Paramètres → Général → Mise à jour logicielle.
- Sur un Mac, accédez au menu Apple, choisissez À propos de ce Mac, puis cliquez sur [Mise à jour logicielle…].
Voilà tout simplement ce que vous devez faire, …
Billet inspiré de Apple patches 51 security flaws, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.