Joyeux mardi de patch tardif de Cupertino : Apple a publié des mises à jour de sécurité pour presque tous les éléments de code qu’il utilise, y compris un correctif pour une vulnérabilité dans les anciens appareils iOS qui, selon iGiant, est actuellement attaquée.
La faille activement exploitée, qui est maintenant patché sur iOS et iPadOS 15est dans le moteur WebKit : CVE-2023-23529 est un problème de confusion de type qui pourraient permettre à du contenu Web malveillant d’exécuter du code arbitraire sur des appareils vulnérables. “Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité”, a commenté Cupertino.
Cela signifie que ces iPhones et iPads vulnérables pourraient être piratés par des pages Web malveillantes sur Internet, un trou dont quelqu’un a abusé, alors mettez à jour vos données dès que vous le pouvez. Le correctif est disponible pour l’iPhone 6s (tous les modèles), l’iPhone 7 (tous les modèles), l’iPhone SE (1re génération), l’iPad Air 2, l’iPad mini (4e génération) et l’iPod touch (7e génération).
Des patchs ont également été publié cette semaine pour des défauts distincts d’Apple Micrologiciel de l’écran Studioet Safari 16.4 sur macOS Big Sur et Monterey, ainsi que des correctifs de sécurité distincts pour macOS Big Sur et Monterey et Ventura, iOS 16.4, WatchOS 9.4et tvOS 16.4.
Qu’il suffise de dire que si vous possédez un produit Apple, c’est une bonne idée d’installer ces mises à jour dès que possible. Cela dit, les utilisateurs d’Apple préfèrent généralement être entièrement corrigés, car il n’y a qu’un seul fabricant pour publier les mises à jour, par rapport au paysage Android plus fracturé.
WebKit vuln a besoin d’un correctif urgent
La Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain a enregistré le WebKit confusion des types faille dans son catalogue de vulnérabilités exploitées connues le 14 février, un jour après qu’Apple a corrigé le problème en macOS arrive, Safari 16 sur macOS Big Sur et Monterey, et iOS16. Fondamentalement, à l’époque, Apple savait que le trou WebKit faisait l’objet d’attaques actives.
Dans son entrée pour l’exploit, l’Institut national des normes et de la technologie lui a attribué une cote de gravité CVSS de 8.8 sur 10, ce qui est assez élevé. Cela soulève la question de savoir pourquoi Apple a décidé d’attendre plus d’un mois avant de fournir cette mise à jour à la version précédente d’iOS, qui a été remplacée par iOS 16 en septembre de l’année dernière.
Nous avons demandé à Apple une explication sur les raisons de son départ 20 % des iPhone et plus d’un quart des iPad en circulation sans correctif de sécurité critique pour un exploit actif depuis plus d’un mois, et n’ont pas reçu de réponse.
Une réponse peut se trouver dans le pack de correctifs de janvier d’Apple, qui comprenait un correctif pour une faille WebKit similaire qui était également sous attaque active pour les utilisateurs d’iOS 12. Le rasoir d’Occam (parfois inexact) suggérerait que les deux cas pourraient être liés.
Comme nous avons noté en 2021, lors de la sortie d’iOS 15, Apple a déclaré aux utilisateurs qu’il ferait de la mise à jour de leurs appareils vers la dernière version d’iOS une décision facultative – au moins pendant un certain temps.
“Vous pouvez mettre à jour vers la dernière version d’iOS 15 dès sa sortie pour les dernières fonctionnalités et l’ensemble de mises à jour de sécurité le plus complet. Ou continuez sur iOS 14 et obtenez toujours des mises à jour de sécurité importantes jusqu’à ce que vous soyez prêt à passer à la prochaine version majeure. version », a déclaré Apple dans les notes de publication d’iOS 15.
Apple a ensuite fait marche arrière et forcé les utilisateurs doivent mettre à jour vers iOS 15 en janvier 2022. Apple rendu similaire concessions de mise à niveau pour les utilisateurs exécutant iOS 15 dont les appareils sont compatibles iOS 16, bien qu’en janvier, il a changé de ton sur la répartition 15/16, et ne publie des mises à jour de sécurité pour iOS 15 que sur les appareils qui ne prennent pas en charge iOS 16, ce qui est reflété dans les notes de mise à jour iOS 15 publiées hier. En d’autres termes, si votre appareil Apple peut exécuter le dernier système d’exploitation, Cupertino vous veut vraiment dessus.
Seuls l’iPhone 6s, l’iPhone 7, l’iPhone SE de 1re génération, l’iPad Air 2, l’iPad mini de 4e génération et l’iPod touch de 7e génération peuvent installer iOS 15.7.4 ; si c’est vous, corrigez maintenant, sinon il est temps de mettre à jour enfin. ®
