iPhone, iPad, Mac : Apple découvre deux failles de sécurité, installez le correctif

Deux failles de sécurité ont été découvertes sur les iPhone, les iPad et les Macs. Pour protéger ses clients, Apple vient de déployer une série de mises à jour.

Apple vient d’identifier deux failles de sécurité dans le système d’exploitation des iPhone, des iPad et des Mac. L’entreprise précise que « le problème a peut-être été activement exploité » par des pirates. Repérées par le Threat Analysis Group de Google et le Security Lab d’Amnesty International, les deux vulnérabilités permettent à un hacker d’exécuter du code arbitrairement sur les terminaux.

Deux failles aux sérieuses conséquences

La première brèche concerne IOSurface Accelerator, un outil qui accélère les transferts au sein du framework IOSurface, qui permet aux applications de décompresser certaines images au sein d’un processus distinct pour des raisons de sécurité. En exploitant ce « problème d’écriture hors limites », une application peut parvenir à « exécuter un code arbitraire avec les privilèges du noyau ».

Une application malveillante pourrait contourner les restrictions de sécurité pour corrompre des données, faire planter l’appareil ou voler des données personnelles. En théorie, un attaquant pourrait accéder aux informations sensibles stockées sur le terminal, comme des mots de passe ou des identifiants, ou même prendre le contrôle complet de l’appareil. D’après le géant des cryptomonnaies Binance, la brèche met d’ailleurs en danger les investisseurs qui détiennent des cryptoactifs. Une fois exploitée, la faille pourrait en effet servir à voler des cryptomonnaies :

« Cela pourrait entraîner des transactions non autorisées, la perte de clés privées ou d’autres données sensibles ».

La seconde vulnérabilité touche WebKit, le moteur de rendu de Safari qui permet aux développeurs d’afficher des pages Web au sein des applications. Les attaquants peuvent exploiter cette faille en incitant leurs cibles à consulter des pages Web malveillantes, dans le cadre d’une attaque par phishing par exemple, détaille Apple. Une fois que la page a été chargée par la cible, il est possible d’exécuter du code arbitrairement sur l’appareil visé.

Là encore, la faille représente une menace pour les détenteurs de cryptomonnaies. Comme le souligne Binance, la brèche pourrait compromettre toutes les données sensibles stockées par une plate-forme d’échange ou un portefeuille numérique, auquel l’utilisateur a accédé par le biais de Safari.

Notez qu’Apple a déjà corrigé une faille repérée dans Webkit en février 2023. De la même manière, la brèche permettait à une page web de mener à l’exécution arbitraire de code sur l’appareil visé. La firme estimait que la vulnérabilité avait probablement été exploitée. Une faille analogue avait aussi été repérée en septembre, et corrigée avec iOS 15.6.1.

Installez vite la mise à jour

Pour corriger le tir, et protéger ses utilisateurs, le géant de Cupertino a déployé une série de mises à jour pour améliorer la validation des entrées et la gestion de la mémoire. Dans un premier temps, Apple a intégré un correctif au sein des mises à jour iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 et Safari 16.4.1, dont le déploiement a débuté la semaine dernière. Ces mises à jour concernaient tous les appareils ci-dessous :

  • _Tous les iPhone sortis depuis l’iPhone 8
  • _Tous les iPad Pro
  • _Tous les iPad Air sortis depuis l’iPad Air 3
  • _Tous les iPad sortis depuis l’iPad  5
  • _Tous les iPad mini sortis depuis la cinquième génération
  • _Tous les Mac sous macOS Ventura

On vous conseille de vous rendre dans les Réglages de l’appareil. Allez ensuite dans la section Général, puis dans Mise à jour logicielle. Une mise à jour devrait être proposée sur votre appareil. Sur Mac, allez dans le menu Pomme, ensuite cliquez sur Réglages Système, rendez-vous dans Général, puis dans Mise à jour de logiciels.

Néanmoins, il ne s’agit des seuls appareils affectés par les failles. Quelques jours plus tard, Apple a déployé un correctif destiné aux iPhone les plus anciens de son catalogue, bloqués sur iOS 15. La mise à jour iOS 15.7.5, qui corrige les deux brèches évoquées plus haut, est proposée sur l’iPhone 6s, l’iPhone 7, l’iPhone SE (1ʳᵉ génération) et l’iPod Touch (7ᵉ génération).

Dans la foulée, Apple a poussé un correctif pour les iPad restés cantonnés à iPadOS 15, à savoir l’iPad Air 2 et l’iPad mini (4ᵉ génération). Si votre tablette est concernée, on vous conseille d’installer iPadOS 15.7.5 dans les plus brefs délais.

 Apple

You may like