Mettre à jour maintenant : Apple expédie des correctifs pour zéro

C'est Patch Monday chez Apple, la société proposant des mises à jour de sécurité pour toutes ses plates-formes à la fois. Et à en juger par les notes de publication de ses mises à jour Mac, iPhone et iPad, vous devez installer ces correctifs dès que possible.

Le risque commun traité par les mises à jour désormais disponibles pour iOS 16, iPadOS 16, macOS Ventura et l'édition actuelle de Safari d'Apple (disponible pour les versions précédentes de Big Sur et Monterey de macOS) est une vulnérabilité dans le framework WebKit à l'intérieur de ce navigateur.

"Le traitement de contenu Web conçu de manière malveillante peut entraîner l'exécution de code arbitraire", avertit la partie pertinente des notes de publication pour iOS/iPadOS 16.3.1(ouvre dans une nouvelle fenêtre), Safari 16.3.1(ouvre dans une nouvelle fenêtre) et macOS 13.2.1(ouvre dans une nouvelle fenêtre). "Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité."

En clair, cela signifie qu'aller sur le mauvais site Web peut mettre des logiciels malveillants sur votre machine, et un client Apple quelque part dans le monde l'a probablement appris à ses dépens. Ces notes indiquent qu'Apple a corrigé le "problème de confusion de type" en faute "avec des vérifications améliorées".

Les correctifs iPhone, iPad et Mac ferment également une vulnérabilité commune du noyau qui pourrait permettre à une application "d'exécuter du code arbitraire avec les privilèges du noyau", tandis que le correctif Mac corrige un bogue qu'une application pourrait exploiter pour "observer les données utilisateur non protégées". Il n'y a aucune mention de ces problèmes activement exploités.

Les boîtes de dialogue de mise à jour logicielle affichées sur un iPhone, un iPad ou un Mac sont beaucoup moins spécifiques, retombant sur les descriptions vagues habituelles des "améliorations de la sécurité et des corrections de bogues" (comme indiqué pour le correctif Safari sur un Mac mini exécutant macOS Monterey) et "corrections de bogues et mises à jour de sécurité" (sur un iPad mini 6). Encore une fois, ces boîtes de dialogue ne renvoient pas aux notes de publication de chaque correctif et pointent plutôt vers la liste des mises à jour de sécurité d'Apple (ouvre dans une nouvelle fenêtre) - une étagère poussiéreuse d'une page indexant les correctifs remontant au 8 janvier 2020.

Notez qu'alors qu'Apple a testé un système "Rapid Security Response"(ouvre dans une nouvelle fenêtre) pour expédier des correctifs iOS et iPadOS qui peuvent être appliqués sans qu'un iPhone ou iPad ne reste inutilisable pendant plusieurs minutes lors d'une installation et d'un redémarrage cycle, les correctifs de lundi exigeront encore de la patience de la part des utilisateurs.

Apple a également livré des mises à jour pour le tvOS de l'Apple TV et le watchOS de l'Apple Watch, mais Apple n'avait pas publié de notes de publication pour ces correctifs lundi en fin d'après-midi.

Les utilisateurs d'Apple devraient être habitués à cette routine, car l'entreprise a dû fréquemment corriger des bogues "zero-day" ces dernières années. L'année dernière, par exemple, août et septembre ont vu des séries de versions distinctes pour corriger les vulnérabilités qui, selon Apple, auraient déjà pu être militarisées.

La société a des raisons d'être paranoïaque, après avoir vu comment des attaquants aussi bien financés que la société israélienne NSO Group ont exploité les problèmes d'iOS pour cibler les iPhones. En 2021, Apple a poursuivi cette société, cherchant à ce que les tribunaux américains lui interdisent d'utiliser ses logiciels et ses services.

Inscrivez-vous à notre Apple Brief hebdomadairepour les dernières nouvelles, critiques, conseils et plus directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d'affiliation. L'inscription à une newsletter indique votre consentement à nos conditions d'utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

Votre abonnement a été confirmé. Gardez un œil sur votre boîte de réception !