Les dernières mises à jour de sécurité d’Apple sont arrivées.
Toutes les saveurs sont toujours prises en charge à partir de MacOS (Monterey, Big Sur et Catalina), ainsi que tous les appareils mobiles actuels (iPhones, iPads, Apple TV et Apple Watch), obtenez des correctifs.
Aussi, les programmeurs utilisant Apple x code Le système de développement reçoit également une mise à jour.
Les détails sont ci-dessous.
Tous les détails et numéros de newsletter
Les correctifs de bogues pour iPhone et iPad incluent des défauts d’exécution de code à distance (RCE) dans les composants du noyau lui-même à la bibliothèque de traitement d’image d’Apple, aux pilotes graphiques, aux modules de traitement vidéo, etc. Plusieurs de ces erreurs avertissent que “une application malveillante peut exécuter du code arbitraire avec les privilèges du noyau”. C’est le genre de faille de sécurité qui pourrait conduire à une prise de contrôle complète de l’appareil, connue dans le jargon sous le nom de “jailbreak” car elle échappe aux restrictions strictes de verrouillage et d’application d’Apple.
Des trous d’exécution de code au niveau du noyau pourraient donner à un attaquant le contrôle de l’ensemble du système, y compris les parties qui gèrent la sécurité du reste du système.
D’autres bogues notables incluent : une faille qui pourrait permettre à des applications non autorisées de contourner les restrictions du bac à sable (comme l’accès à des fichiers qu’elles ne sont pas censées voir ou l’utilisation de ressources comme votre caméra ou votre microphone auxquelles elles ne devraient pas avoir accès) ; un bogue Safari qui pourrait vous permettre d’être suivi même en mode privé et un trou dans le Sécurité sous-système qui permet aux applications modifiées sournoisement de contourner la vérification de la signature numérique par laquelle le système d’exploitation est censé vérifier qu’elles n’ont pas été falsifiées.
Enfin, il y a un bogue d’écran de verrouillage où quelqu’un qui prend votre iPhone pendant que vous ne regardez pas (ou le vole, bien sûr) pourrait accéder à vos photos sans connaître le code de déverrouillage.
Les Mac obtiennent des correctifs pour bon nombre des mêmes bogues répertoriés ci-dessus dans la section iPhone et iPad. Il existe plusieurs “bogues bonus” qui ne s’appliquent qu’à macOS, en particulier sur les composants d’ordinateur portable/de bureau tels que AppleScriptNameun puissant outil d’automatisation du système qui vous permet de lancer et de contrôler des applications, y compris la saisie de touches, les clics de souris, la configuration de périphériques tels que votre microphone et votre webcam et la prise de captures d’écran.
Il existe également un correctif pour CVE-2022-0778, un bogue de chiffrement dans OpenSSL qui a été corrigé par l’équipe OpenSSL il y a près de deux mois. Vous vous souvenez peut-être de cette erreur : c’était ce qu’on appelle dans le jargon un odeur de codeune boucle mal conçue et mal programmée qui n’a pas vérifié assez attentivement pour voir si elle avait dépassé le temps maximum qu’elle était censée consacrer à la vérification d’un certificat numérique.
Fait intéressant, LibreSSL d’OpenBSD, un remplacement de “sécurité améliorée” pour OpenSSL qui a été introduit après la tristement célèbre faille Heartbleed dans le code OpenSSL, est répertorié comme étant corrigé contre exactement le même bogue. Ceci est un rappel opportun non seulement que les projets logiciels ayant des origines communes peuvent partager des bogues latents pendant des années après la divergence du développement, mais aussi que les systèmes d’exploitation ont souvent de nombreuses bibliothèques de codes différentes avec des fonctionnalités similaires ou qui se chevauchent.
Apple macOS, par exemple, inclut au moins FreeSSL, OpenSSL et la propre bibliothèque cryptographique propriétaire d’Apple connue sous le nom de Transport sécurisé.
Big Sur, la version précédente de macOS d’Apple qui est toujours prise en charge, inclut des correctifs pour bon nombre des mêmes bogues que Monterey, avec l’ajout notable d’un bogue de décodage vidéo qui donne aux attaquants distants un moyen d’acquérir des power-ups au niveau distant. du noyau, vraisemblablement via des fichiers piégés.
Dans ce cas, nous disons “frapper les attaquants”, et non “pourrait ou pourrait frapper les attaquants”, car ce bogue, CVE-2022-22675, est ce qu’on appelle un Jour zéro. Les cybercriminels l’ont trouvé en premier et l’exploitent déjà à l’état sauvage.
Comme nous l’avons mentionné précédemment, les exploits d’exécution de code à distance au niveau du noyau sont souvent suffisants pour une compromission complète du système, ce qui les rend très recherchés par les pirates, les cybercriminels et les créateurs de logiciels espions et d’autres outils de surveillance.
Quoi que vous fassiez, ne manquez pas cette mise à jour !
Comme Big Sur (mais contrairement à iOS, bien que tvOS ait le même numéro de version qu’iOS), la dernière mise à jour de tvOS corrige CVE-2022-22675, le bogue RCE au niveau du noyau décrit ci-dessus.
Malgré le numéro de version très différent de tvOS (8.6 au lieu de 15.5), les utilisateurs d’Apple Watch reçoivent également un correctif pour le bogue de décodage vidéo zero-day CVE-2022-22675.
Catalina, la version précédente de macOS et sa version la plus ancienne actuellement prise en charge, reçoit bon nombre des mêmes correctifs que Big Sur.
Cependant, CVE-2022-22675, le trou du jour zéro qui a été corrigé dans Big Sur, tvOS et watchOS, ne semble pas être présent ici. Nous supposons que le bogue a été introduit après la sortie de Catalina, ce qui le laisse immunisé.
Cette mise à jour corrige deux bogues RCE qui pouvaient être déclenchés simplement en affichant du contenu piégé. Apple ne dit pas quel type de contenu, mais puisque le bogue est dans trousse Weble moteur de rendu Web, plutôt que l’une des bibliothèques multimédias d’Apple, nous supposons que l’erreur est liée à la gestion de données spécifiques au Web telles que HTML, CSS ou JavaScript.
Veuillez noter que cette mise à jour ne vous sera proposée que si vous possédez macOS Big Sur ou macOS Catalina. Sur macOS Monterey et toutes les plates-formes d’appareils mobiles Apple, ces correctifs sont inclus dans la mise à jour principale du système.
Gardez à l’esprit, par conséquent, que si vous êtes un utilisateur de Big Sur ou de Catalina, vous installerez deux mises à jour, pas une seule, avec Safari mis à jour séparément du reste du système d’exploitation.
Les développeurs devraient obtenir cette mise à jour, surtout s’ils utilisent le populaire système de gestion de code source Git.
Selon le bref rapport sur CVE-2022-24765, “Sur les machines multi-utilisateurs, les utilisateurs de Git peuvent se retrouver de manière inattendue dans un arbre de travail Git.” Cela ressemble à une sorte de contournement d’authentification, comme si en vous connectant en tant qu’utilisateur X, vous pouviez soudainement accéder au code source appartenant à l’utilisateur Y ou au projet Z sur lequel vous ne travaillez pas.
Que faire?
La plupart des utilisateurs d’Apple ont activé la mise à jour automatique ces jours-ci et s’attendent donc à recevoir les derniers correctifs de sécurité de toute façon, sans avoir besoin de savoir quand les mises à jour sont publiées.
Cependant, nous vous recommandons vivement de vérifier manuellement les mises à jour chaque fois que vous savez que des correctifs sont proposés, en particulier s’il existe des bogues au niveau du noyau ou des bogues de type « zero-day ». (Ou, comme c’est arrivé ici, les deux en même temps !)
Pourquoi risquer d’être laissé pour compte alors que vous pourriez être en avance ?
Comme le suggère la Zero Trust School of Cybersecurity : n’assume jamais; toujours vérifieralors:
- Sur votre iPhone ou iPad : Réglages > Général > Mise à jour logicielle
- Sur votre Mac : menu pomme > À propos de ce Mac > Mise à jour logicielle…
Attention là-bas!
.
