Mettez iOS et macOS à jour — encore une fois !

Encore une fois, des vulnérabilités particulièrement critiques ont été découvertes dans les systèmes d’exploitation d’Apple. Installez dès que possible les nouvelles versions iOS 16.4.1 et macOS 13.3.1. Des mises à jour sont aussi disponibles pour iOS 15 et macOS 11 et 12.

Nous venions juste de publier plusieurs articles sur les vulnérabilités détectées dans les systèmes d’exploitation Apple et Microsoft et dans les puces Exynos de Samsung, qui permettent aux cybercriminels de pirater les smartphones sans que les propriétaires des dispositifs n’aient rien à faire, lorsque tout le monde a commencé à parler de plusieurs failles de sécurité critiques dans iOS et macOS, sans oublier celles que les cybercriminels exploitaient déjà. Ces vulnérabilités sont si graves que, pour les combattre, Apple a dû rapidement lancer des mises à jour pour les derniers systèmes d’exploitation et pour toutes les versions antérieures. Voyons ce qui s’est passé étape par étape…

 

Des vulnérabilités sont détectées dans WebKit et IOSurfaceAccelerator

Au total, ce sont deux vulnérabilités qui ont été découvertes. La première, CVE-2023-28205, avec un niveau de risque de 8,8/10, concerne le moteur WebKit, qui est la base du navigateur Safari. Mais ce n’est pas tout ; nous y reviendrons un peu plus tard. Le plus important de cette vulnérabilité est que les escrocs peuvent exécuter un code arbitraire sur le dispositif à l’aide d’une page malveillante spécialement conçue.

La seconde vulnérabilité, CVE-2023-28206, avec un niveau de risque de 8,6/10, a été découverte dans l’objet IOSurfaceAccelerator. Les cybercriminels peuvent s’en servir pour exécuter un code avec des privilèges liés au noyau du système d’exploitation. Ces deux vulnérabilités peuvent être utilisées ensemble : la première permet de pénétrer dans l’appareil pour que la seconde puisse être exploitée. Cette dernière permet aux escrocs de « s’échapper de la sandbox » et de faire presque tout ce qu’ils veulent sur l’appareil infecté.

Ces vulnérabilités concernent les systèmes d’exploitation des ordinateurs macOS et des dispositifs mobiles : iOS, iPadOS et tvOS. Les dernières versions de ces systèmes d’exploitation ne sont pas les seules vulnérables puisque les versions antérieures sont aussi concernées. Apple a publié les mises à jour l’une après l’autre pour tout un éventail de systèmes : macOS 11, 12 et 13, iOS/iPadOS 15 et 16 et tvOS 16.

 

Pourquoi ces vulnérabilités sont dangereuses

Le moteur WebKit est le seul moteur de recherche autorisé sur les systèmes d’exploitation mobiles d’Apple. Même si vous utilisez un autre navigateur sur votre iPhone, WebKit est toujours utilisé pour afficher les pages des sites. On peut dire qu’avec iOS, n’importe quel navigateur est Safari.

De plus, ce même moteur est utilisé lorsque vous ouvrez une page Web depuis une application. Parfois ça ne ressemble pas à une page Web, mais WebKit est tout de même utilisé pour l’afficher. C’est pourquoi il est essentiel d’installer dès que possible toutes les nouvelles mises à jour de Safari, même si vous utilisez un autre navigateur comme Google Chrome ou Mozilla Firefox.

Les vulnérabilités de WebKit, comme celle décrite ci-dessus, permettent d’infecter l’iPhone, l’iPad ou le Mac à l’aide d’une attaque sans clic. Le dispositif est infecté sans que l’utilisateur n’ait rien à faire. Il suffit de le leurrer et de le rediriger vers un site malveillant spécialement conçu.

Ces vulnérabilités sont généralement exploitées pour s’en prendre aux grandes entreprises ou aux personnes importantes à l’aide d’attaques ciblées. Les utilisateurs courants peuvent aussi être attaqués s’ils ont la malchance d’ouvrir une page infectée. Il semblerait qu’il y ait une action similaire dans ce cas. Comme d’habitude, Apple n’a pas publié les détails, mais d’après l’opinion générale, la chaîne des vulnérabilités décrite antérieurement est activement utilisée par des cybercriminels anonymes pour installer un logiciel espion.

La chaîne des vulnérabilités est activement exploitée par des cybercriminels anonymes] [No Caption

 

Étant donné que les vulnérabilités CVE-2023-28205 et CVE-2023-28206 ont été rendues publiques et qu’une preuve de concept a été publiée pour la seconde faille, il est fort probable que d’autres cybercriminels commencent à les exploiter.

 

Comment vous protéger contre les vulnérabilités décrites

Évidemment, vous devez rapidement installer les dernières mises à jour d’Apple pour vous protéger contre CVE-2023-28205 et CVE-2023-28206. Voici ce que vous devez faire selon l’appareil utilisé :

  • Si vous avez un des derniers appareils iOS, iPadOS ou tvOS, vous devez mettre le système d’exploitation à jour et installer la version 4.1.
  • Si votre iPhone ou iPad n’est pas compatible avec la dernière version du système d’exploitation, vous devez installer la version 7.5.
  • Si votre Mac est équipé de la version la plus récente de Ventura OS, il vous suffit d’installer la version 3.1 de macOS.
  • Si votre Mac utilise la version macOS Big Sur ou Monterey, vous devez respectivement installer les versions 7.6 et 12.6.5 ainsi qu’une autre mise à jour de Safari.

 

N’oubliez pas d’installer un antivirus de confiance sur votre Mac pour garantir sa sécurité et le protéger contre les nouvelles vulnérabilités qui n’ont pas encore été corrigées.

 

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries