Apple lance des mises à jour de sécurité pour plusieurs produits
Apple a diffusé des mises à jour de sécurité pour plusieurs de ses produits afin de corriger un ensemble de failles qui, selon l’entreprise, sont activement exploitées. Ces mises à jour concernent les produits suivants :
- Safari 16.5.1
- macOS Big Sur et macOS Monterey
- iOS 16.5.1 et iPadOS 16.5.1 pour iPhone 8 et versions ultérieures, iPad Pro (tous modèles), iPad Air (3ème génération et ultérieures), iPad (5ème génération et ultérieures), et iPad mini (5ème génération et ultérieures)
- iOS 15.7.7 et iPadOS 15.7.7 pour iPhone 6s (tous modèles), iPhone 7 (tous modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération), et iPod touch (7ème génération)
- macOS Ventura 13.4.1
- macOS Monterey 12.6.7
- macOS Big Sur 11.7.8
- watchOS 9.5.2 pour Apple Watch Series 4 et versions ultérieures
- watchOS 8.8.1 pour Apple Watch Series 3, Series 4, Series 5, Series 6, Series 7, et SE
Vérification des mises à jour
Il est possible que vous ayez déjà reçu ces mises à jour lors de votre routine de mise à jour régulière. Cependant, il est recommandé de vérifier si votre appareil est à jour. Si une mise à jour Safari est disponible pour votre appareil, vous pouvez l’obtenir en mettant à jour ou en passant à une version supérieure de macOS, iOS, ou iPadOS.
Voici comment mettre à jour votre iPhone ou iPad.
Voici comment mettre à jour macOS sur Mac.
Présentation des vulnérabilités corrigées
La base de données Common Vulnerabilities and Exposures (CVE) répertorie les failles de sécurité informatiques divulguées publiquement. Les trois CVE activement exploitées sont :
CVE-2023-32434
Il s’agit d’une vulnérabilité dans le noyau due à un débordement d’entier. Une exploitation réussie permettrait à l’attaquant d’exécuter du code arbitraire avec des privilèges de noyau. Apple a connaissance d’un rapport selon lequel ce problème aurait été activement exploité contre des versions d’iOS sorties avant iOS 15.7. Cette vulnérabilité faisait partie de l’opération dite de Triangulation.
CVE-2023-32435
Il s’agit d’un problème de corruption de mémoire dans le composant WebKit pour iPhone 6s (tous modèles), iPhone 7 (tous modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération), et iPod touch (7ème génération). Le traitement de contenu web peut conduire à l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème aurait été activement exploité contre des versions d’iOS sorties avant iOS 15.7. Cette vulnérabilité faisait également partie de l’opération dite de Triangulation.
CVE-2023-32439
Il s’agit d’un problème de confusion de type dans le composant WebKit. Le traitement de contenu web malveillant peut conduire à l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème aurait été activement exploité.
Explication des vulnérabilités
WebKit est le moteur de navigateur qui alimente Safari sur Mac ainsi que tous les navigateurs sur iOS et iPadOS (les navigateurs sur iOS et iPadOS sont obligés de l’utiliser). Il est également le moteur de navigateur web utilisé par Mail, App Store, et de nombreuses autres applications sur macOS, iOS, et Linux.
Un débordement d’entier est une erreur de programmation qui permet à un attaquant de manipuler un nombre que le programme utilise de manière potentiellement néfaste. Si le nombre est utilisé pour définir la longueur d’un tampon de données (une zone de mémoire utilisée pour stocker des données), un débordement d’entier peut conduire à un débordement de tampon, une vulnérabilité qui permet à un attaquant de surcharger un tampon avec plus de données qu’il n’en attend, créant ainsi une voie pour l’attaquant pour manipuler le programme.
Les vulnérabilités de confusion de type sont des défauts de programmation qui se produisent lorsqu’un morceau de code n’a pas vérifié le type d’objet qui lui est transmis avant de l’utiliser. Par exemple, si vous avez un programme qui attend un nombre en entrée, mais qu’il reçoit une chaîne (c’est-à-dire une séquence de caractères), si le programme ne vérifie pas correctement que l’entrée est bien un nombre et tente d’effectuer des opérations arithmétiques dessus comme si c’était un nombre, il peut produire des résultats inattendus qui pourraient être exploités par un attaquant.
La confusion de type peut permettre à un attaquant de fournir des pointeurs de fonction ou des données au mauvais morceau de code. Dans certains cas, cela pourrait permettre aux attaquants d’exécuter du code arbitraire sur un appareil vulnérable. Ainsi, un attaquant devrait tromper une victime en lui faisant visiter un site web malveillant ou ouvrir une telle page dans une des applications qui utilisent WebKit pour afficher leurs pages. Dans le cas de l’opération Triangulation, celles-ci auraient été livrées via iMessage sous forme d’exploits sans clic.
Je suis Samuel Le Goff, à la tête de Menow.fr et père de deux enfants. À 38 ans, je navigue dans l’univers de l’informatique depuis plus de 14 ans, me spécialisant récemment dans le contenu high-tech et le gaming. Ma mission ? Partager des conseils pratiques et des insights en technologie, avec une touche d’honnêteté et d’authenticité, comme si je m’adressais à des amis.