- La comparaison
- Informatique
- Apple ne corrige toujours pas la faille de sécurité WebKit sur iOS et macOS malgré le correctif disponible
Apple est toujours en train de corriger une vulnérabilité WebKit présente à la fois dans iOS et macOS malgré un correctif pour la faille disponible depuis plusieurs semaines, ont averti les experts. La vulnérabilité a été découverte pour la première fois par des chercheurs de la start-up de cybersécurité Theori, qui dispose également d'un exploit de preuve de concept qui tire parti du bogue. Selon l'équipe de Theori, le problème provient de l'interface AudioWorklet de l'API Web Audio, qui permet aux développeurs de contrôler, manipuler, restituer et produire de l'audio.
LaComparacion a besoin de vous ! Nous examinons comment nos lecteurs utilisent les VPN pour un prochain rapport détaillé. Nous aimerions avoir de vos nouvelles dans le sondage ci-dessous. Cela ne prendra pas plus de 60 secondes de votre temps.
Cliquez ici pour démarrer l'enquête dans une nouvelle fenêtre
Un correctif pour la vulnérabilité a été ajouté au code WebKit en amont début mai. Fait intéressant, cependant, Theori souligne qu'Apple continue de fournir des mises à jour iOS vulnérables près de trois semaines après la publication du correctif.
Énorme patch
AppleInsider explique que l'exploitation de la faille pourrait donner aux attaquants les composants de base nécessaires pour exécuter du code malveillant sur les appareils. Cependant, le processus n'est pas simple, car tout exploit du monde réel aurait toujours besoin d'un moyen de contourner les codes d'authentification de pointeur (PAC), qui est un système d'atténuation qui nécessite une signature cryptographique avant que le code ne puisse s'exécuter en mémoire. Quelle que soit la complexité de l'exploitation du bogue, le vrai problème ici est l'inaction d'Apple malgré la disponibilité publique d'un correctif. Idéalement, il devrait y avoir un minimum de temps entre un correctif public et une version stable. Dans ce cas, cependant, Apple continue d'expédier de nouvelles versions d'iOS aux côtés de la version vulnérable et non corrigée de WebKit. Les acteurs de la menace sont connus pour tirer parti de cet énorme patch ; la fenêtre entre la correction d'une vulnérabilité et l'envoi du correctif aux utilisateurs. "Ce bogue prouve une fois de plus que le manque de correctifs est un danger important pour le développement open source. Idéalement, la fenêtre de temps entre un correctif public et une version stable est aussi petite que possible. Dans ce cas, une nouvelle version d'iOS reste vulnérable des semaines après la sortie du correctif », concluent les chercheurs de theori. Via Apple Insider