iPhone, iPad, Mac, MacBook : il est urgent de mettre à jour vos appareils Apple
Il est loin le temps où l'on pouvait prétendre que les produits Apple étaient immunisés à tout problème de sécurité. Heureusement, la firme fait un plutôt bon travail quand il s'agit de corriger rapidement les failles de sécurité, et elle s'est bien améliorée sur le sujet au cours des dernières années.
Elle en donne une nouvelle preuve cette semaine avec la publication d'une faille de sécurité concernant la plupart de ses logiciels, heureusement corrigée depuis. Un effort de transparence nécessaire pour une entreprise de cette importance.
Mettez à jour tout vos appareils Apple
Apple a actualisé sa page de support dédiée aux mises à jour de sécurité. Voici la liste des mises à jour à effectuer sur vos appareils.
Safari 15.6.1 (pour macOS Big Sur et macOS Catalina) ;
macOS Monterey 12.5.1 ;
iOS 15.6.1 (à partir de l'iPhone 6s et iPod Touch 7e génération) ;
iPadOS 15.6.1 (tous les iPad Pro, à partir de l'iPad Air 2, l'iPad 5e génération et l'ipad Mini 4).
Dans tous les cas, il s'agit de corriger les failles CVE-2022-32894 et CVE-2022-32893 découvertes par des anonymes. Elles permettent à travers le noyau et WebKit de pouvoir exécuter du code malicieux sans le consentement de l'utilisateur avec les privilèges administrateur. C'est donc une faille qui peut être exploitée à partir d'une simple page web.
Il est important de rappeler que tous les navigateurs sur iOS, sur l'iPhone et l'iPad, utilisent Webkit comme moteur de rendu obligatoirement. Même Google Chrome, Mozilla Firefox ou Microsoft Edge utilisent le moteur de Safari sur ces systèmes au lieu de leur propre moteur.
Apple indique avoir reçu des rapports d'une exploitation très concrète de ses failles dans la nature. La firme n'a visiblement pas pu confirmer ces rapports elle-même pour le moment.
Autrement dit, les pirates semblent connaitre les méthodes pour exploiter ces deux failles et il est donc urgent de mettre à jour les appareils pour prévenir tout risque. C'est aussi ce que recommande la CISA américaine, l'Agence de cybersécurité et de sécurité des infrastructures aux États-Unis.