Apple a publié cette semaine des mises à jour de sécurité urgentes pour remédier aux vulnérabilités zero-day des anciens modèles d'iPhone, d'iPad et d'iPod.
Les correctifs, publiés mercredi, résolvent un problème d'écriture hors limites qui pourrait être exploité par un attaquant pour lui permettre de prendre le contrôle de l'appareil concerné. La Cyber Security and Infrastructure Agency (CISA) des États-Unis a encouragé aujourd'hui les utilisateurs et administrateurs informatiques à consulter l'avis Apple HT213428 et à appliquer les mises à jour nécessaires.
Apple n'a pas immédiatement répondu à une demande de commentaire indiquant si les vulnérabilités avaient été portées à son attention par des exploits actifs, mais sa mise à jour de sécurité indiquait : "Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été activement exploité".
Les vulnérabilités logicielles sont répertoriées dans la base de données Common Vulnerabilities and Exposures (CVE), un système financé par une division du Département américain de la sécurité intérieure (DHS) pour assurer la divulgation publique des vulnérabilités et des expositions en matière de sécurité.
«Le problème est que si une page Web est construite d'une certaine manière, cela peut entraîner l'exécution de code sur l'appareil en dehors du confinement normal et créer efficacement une situation de malware sur l'appareil qui pourrait compromettre les données, les contacts, l'emplacement, insérer des logiciels malveillants. articles etc. a déclaré Jack Gold, analyste principal chez J. Gold Associates, LLC.
"C'est donc un gros problème", a-t-il ajouté.
Les vulnérabilités affectent l'iPhone 6, l'iPhone 6 Plus, l'iPad Air, l'iPad mini 2, l'iPad mini 3 et l'iPod touch (6e génération) et les ordinateurs dotés de versions antérieures de macOS.
Le fait que le problème affecte ce groupe d'appareils plus anciens, et non les modèles plus récents, signifie qu'il y a relativement peu d'appareils à risque, a déclaré Gold. Pourtant, a-t-il dit, toute personne possédant l'un des appareils les plus anciens devrait mettre à niveau dès que possible.
Bien qu'un correctif proposé pour les appareils plus anciens puisse sembler sans conséquence, les cybercriminels aiment particulièrement les technologies plus anciennes et non corrigées, surtout si la vulnérabilité leur donne un contrôle total et la possibilité d'accéder à d'autres systèmes et services.
"Un attaquant pourrait attirer une victime potentielle vers un site Web spécialement conçu ou utiliser la publicité malveillante pour compromettre un système vulnérable en exploitant cette vulnérabilité", a déclaré Malwarebytes dans un article de blog aujourd'hui. « Puisque la vulnérabilité existe dans le logiciel de rendu HTML d'Apple (WebKit). WebKit fonctionne avec tous les navigateurs Web iOS et Safari, donc les cibles possibles sont les iPhones, les iPads et les Macs, qui pourraient être amenés à exécuter du code non autorisé.
Le problème a été résolu dans iOS 15.6.1, iPadOS 15.6.1 et macOS Monterey 12.5.1. Apple encourage les utilisateurs à mettre à jour les dernières versions de ses logiciels.
Copyright © 2022 IDG Communications, Inc.