/image%2F2647755%2F20190518%2Fob_d3ba56_giphy-2.gif)
Apple a publié aujourd'hui des mises à jour de sécurité pour iOS, corrigeant 51 vulnérabilités de la version 12.2 du système d'exploitation. Les produits concernés sont :
- iPhone 5s et ultérieurs,
- iPad Air
- et les nouveaux iPod de 6ème génération.
Les produits exécutant :
- tvOS
- Apple TV 4K
- et Apple TV HD
qui repose dans une large mesure sur iOS, devraient être mis à jour à 12.2, car ils sont également affectés par 36 des mêmes vulnérabilités.
La liste des correctifs couvre une grande variété de bogues qu'un adversaire pourrait potentiellement manipuler pour obtenir des effets tels que :
- déni de service
- élévation de privilèges
- divulgation d'informations
- obtenir des privilèges racine
- Écraser des fichiers arbitraires
- ou d'exécuter du code choisi par l'attaquant.
19 problèmes signalés dans Webkit
Se référant à un lot de vulnérabilités de corruption de mémoire sérieuses corrigées dans iOS 12.2, Alex Stamos, professionnel de la sécurité réputé et ancien responsable de la sécurité chez Facebook, a indiqué que les grands événements médiatiques d’Apple ne devraient peut-être pas coïncider avec leur série de corrections de bugs.
Apple a corrigé quelques bugs très sérieux dans iOS 12.2. Mettre à jour maintenant!
Une fois encore, cela soulève la question de savoir si Apple devrait associer son calendrier de correctifs de sécurité aux principaux événements médiatiques. Ce n'est pas "Patch Tuesday", c'est "Patch Keynote". pic.twitter.com/F8fCoJmh2v
- Alex Stamos (@alexstamos) 25 mars 2019
De loin, la plupart des vulnérabilités concernaient Webkit, le moteur de navigateur Web utilisé par Apple dans bon nombre de ses produits, notamment :
- Safari,
- et App Store.
Parmi ceux-ci, les plus fréquents étaient des problèmes de corruption de la mémoire qui pourraient être exploités pour mener à l'exécution de code arbitraire via le traitement de contenu Web conçu de manière malveillante.
Apple a résolu ces erreurs en améliorant la gestion, l’état et la gestion de la mémoire.
Un autre problème lié à la mémoire, suivi en tant que CVE-2019-8562, pourrait être exploité pour permettre à un processus de contourner les restrictions de sandbox. Dans ce cas, la solution consistait à améliorer les contrôles de validation.
Une autre faille (CVE-2019-6222) affectant les sites Web du Webkit dans les versions précédentes d'iOS concerne également les sites Web qui n'ont pas accès à l'état du microphone.
Le même effet serait obtenu via un bogue distinct (CVE-2019-8566) dans le composant ReplayKit pour l'enregistrement ou la diffusion en continu de vidéos à partir de l'écran et l'audio à partir d'une application ou directement à partir du microphone.
La liste des améliorations apportées par Apple à la sécurité pour la version iOS actuelle indique qu'un attaquant pourrait utiliser deux vulnérabilités pour le script intersite universel (XSS) - CVE-2019-8551 et pour apprendre des informations utilisateur confidentielles (CVE-2019-8515).
De plus, un adversaire pourrait tirer parti d'un autre bogue Webkit (CVE-2019-8503) permettant à un site Web d'exécuter des scripts dans le contexte d'un autre site Web.
Problème de noyau et SMS malicieux
Six problèmes affectant le noyau des versions antérieures d’iOS, susceptibles de provoquer une panne ou une corruption du système (CVE-2019-8527), permettent aux applications malveillantes de lire la structure de la mémoire (CVE-2019-8540, CVE-2019-6207, CVE-2019- 8510), ou obtenez des privilèges élevés (CVE-2019-8514).
L'exploitation de CVE-2019-7293 permet à un utilisateur local de lire la mémoire du noyau et d'extraire des informations sensibles qui s'y trouvent.
Une vulnérabilité intéressante signalée par un chercheur anonyme est CVE-2019-8553, qui affecte le composant GeoServices.
La brève explication de son impact par Apple indique qu'un attaquant pourrait envoyer à la victime un "lien SMS malveillant" afin d'obtenir de l'exécution de code arbitraire.
L'inventaire des correctifs de sécurité d'Apple est impressionnant, non seulement en raison du nombre élevé de problèmes résolus, mais également en raison de la gravité de certaines de ces vulnérabilités. L'application de ces mises à jour devrait avoir lieu le plus rapidement possible, car elles posent des risques importants pour la sécurité des produits qu'elles affectent.
/image%2F2647755%2F20190821%2Fob_f9baf9_images-8.jpeg)
/image%2F2647755%2F20190812%2Fob_6366c0_getty-586113570-2000133320009280177-39.jpg)
/image%2F2647755%2F20190727%2Fob_2530a7_telechargement-3.jpeg)
/image%2F2647755%2F20190715%2Fob_5a59db_apple-logo-tim-cook-keynote-mars-2019.jpg){kind=logo}
/image%2F2647755%2F20191213%2Fob_7aeb23_virtualbox-6-1-officially-released-wit.jpg)
/image%2F2647755%2F20191213%2Fob_ea3320_chip.png)
/image%2F2647755%2F20191213%2Fob_7c8939_64063315c2c194e4.jpeg)
/image%2F2647755%2F20191202%2Fob_a3a8f1_opensuse-leap-15-0.jpg)
Commenter cet article