mise a jour apple
Produits et Services PRODUITS & SERVICES

Mise à jour Apple urgente pour iOS et Mojave

Apple a publié sa mise à jour de sécurité du mois de mai 2019, faisant passer iOS à la version 12.3 et macOS Mojave à la version 10.14.5.

Cette nouvelle mise à jour Apple de sécurité comporte trois éléments : de nouvelles fonctionnalités (qui retiennent généralement toute votre attention et que nous allons ignorer ici), de nombreux et importants correctifs de sécurité et quelques autres modifications mineures.

L’un des aspects intéressants concernant ces avertissements d’Apple est le grand nombre de chercheurs tiers qui se sont impliqués dans ces vérifications.

En effet, il s’agit d’un point positif : plus les chercheurs s’attaqueront aux failles, moins elles seront exploitées et causeront de dégâts. Par contre, il semble assez difficile, sans une lecture plus approfondie des CVE, (qui ne fournissent pas d’ailleurs de véritables explications avant l’installation à proprement parlé de la mise à jour Apple) de savoir lesquelles sont vraiment sérieuses.

iOS 12.3

Ce mois-ci, iOS a généré 42 CVE, dont une majorité concerne WebKit, qui en compte 20 en tout.

Les plus remarquables sont généralement les vulnérabilités qui pourraient permettre à un attaquant distant ou à une application locale de prendre le contrôle du périphérique à un niveau donné, comme la plupart des failles WebKit.

Par exemple, CVE-2019-8585 dans CoreAudio, qui pourrait permettre à des malwares de compromettre votre système via l’utilisation d’un fichier vidéo malveillant. Il s’agit là d’un problème plutôt sérieux car il semble que la victime n’ait rien à faire de particulier pour déclencher un telle attaque.

CVE-2019-8593 dans AppleFileConduit et CVE-2019-8605 dans le noyau en sont deux autres exemples, qui pourraient permettre à une application d’obtenir des privilèges système ou encore CVE-2019-8637 dans AppleFileConduit, par laquelle “l’application pourrait obtenir des privilèges de type root”. Ces dernières obligeraient les utilisateurs à télécharger des applications malveillantes.

macOS Mojave 10.14.5

À l’exclusion des failles communes à macOS (y compris macOS Sierra 10.12.6, macOS High Sierra 10.13.6) et iOS concernant des logiciels tels que WebKit, la mise à jour Apple du mois de mai concerne environ 20 CVE.

Cette dernière en comporte quatre pour SQLite, permettant une élévation de privilèges ou l’exécution de code et trois failles au niveau du noyau. L’une d’entre elles concerne une faille dans EFI, CVE-2019-8634, par laquelle “un utilisateur peut être connecté de manière inattendue au compte d’un autre utilisateur”.

Au-delà des vulnérabilités mentionnées ci-dessus, il s’agit principalement de corrections telles que la désactivation des accessoires dans le cas de connexions Bluetooth non sécurisées et une correction permettant le déverrouillage des volumes FileVault qui rencontrent des difficultés pour réinitialiser le mot de passe du compte utilisateur à l’aide d’une clé de récupération personnelle (PRK).

Safari

Pendant ce temps, Safari facilite la connexion web lors de l’utilisation de la fonction de remplissage automatique du mot de passe (AutoFill), remplace la protection du navigateur de suivi cross-site (Do Not Track), désormais discréditée, par l’Intelligent Tracking Prevention d’Apple et désactive les notifications push web lorsque l’utilisateur a interagi avec un site internet.

Quoi faire ?

Pour vérifier que vous êtes à jour :

  • Sur un iPhone, rendez vous dans Réglages>Général>Mise à jour logicielle.
  • Sur un Mac, allez sur le menu Pomme, choisissez À propos de ce Mac, puis cliquez sur Mise à jour de logiciels….

WhatsApp Messenger v2.19.134

Séparément, vous devez également mettre à jour WhatsApp à la lumière des informations selon lesquelles l’application aurait été compromise par des logiciels espions (spywares). Il ne s’agit pas d’une faille Apple, mais plutôt d’un problème qui peut nécessiter une mise à jour manuelle de l’application pour obtenir le correctif le plus rapidement possible. Pour ce faire, visitez l’App Store, cliquez sur Mises à jour et téléchargez la mise à jour pour WhatsApp Messenger.


Billet inspiré de Update iOS and Mojave now! Apple patches are out, sur Sophos nakedsecurity.