Apple corrige plusieurs vulnérabilités critiques sur iOS 12

Apple a publié le lundi 25 Mars plusieurs bulletins de sécurité portant sur les produits suivants : iPhone 5s et modèles plus récents, iPad Air et iPad plus récents, iPod touch 6ème génération. Tous ces appareils utilisent en effet le système d'exploitation mobile d'Apple, iOS. Ces produits présentent des vulnérabilités dont l’exploitation pourrait permettre à un attaquant d’exécuter du code arbitraire à distance, d’activer le microphone à l'insu de l’utilisateur, d’élever ses privilèges ou encore de réaliser un déni de service. Au total, ce sont 51 vulnérabilités qui ont été corrigées par ces mises à jour.

La majeure partie des vulnérabilités sont présentes sur le moteur de rendu web d’Apple appelé « WebKit ». Ce moteur étant présent dans de nombreuses applications ainsi que dans les navigateurs web sur iOS, la criticité de ces vulnérabilités est importante. Selon Apple, l’ouverture d’un site web malicieux ou de n’importe quelle application utilisant « WebKit » pourrait compromettre l'ensemble du système.

Détails techniques :

Voici un résumé des vulnérabilités les plus importantes :

• CVE-2019-8527  [CVSS v3 9.8] : Son exploitation permettrait à un attaquant de lancer à distance une attaque par déni de service, de provoquer l'interruption du système et de l’appareil. Il serait également possible de corrompre la mémoire du noyau (« kernel », le cœur du système d’exploitation) ;
• CVE-2019-8514 [CVSS v3 7.8] : Son exploitation permettrait d'attribuer davantage de privilèges à une application.
• CVE-2019-8503  [CVSS v3 6.3] : Son exploitation permettrait à un attaquant d’exécuter du code arbitraire dans le contexte d’un autre site Internet. Cela permettrait entre autres de récupérer des informations présentes sur un autre site web (par exemple, Facebook), notamment les identifiants d'un utilisateur ;
• CVE-2019-8553 [CVSS v3 6.3] : Son exploitation permettrait à partir d’un simple clic sur un lien internet présent dans un SMS d’exécuter du code arbitraire ;
• CVE-2019-6222 [CVSS v3 4.3] : Son exploitation permettrait à un site malveillant d’accéder au microphone de manière cachée (le bandeau indiquant l’utilisation du microphone n’étant pas montré à l’utilisateur) ;
• CVE-2019-8566  [CVSS v3 3.3] : Son exploitation permettrait le même accès que la vulnérabilité précédente mais lors de l'utilisation d'une application malveillante ;

Afin de se protéger contre cette vulnérabilité, il est recommandé de faire les mises à jour rapidement (dernière mise à jour : iOS 12.2). Pour mettre à jour manuellement votre appareil, dans l'application "Réglages" se rendre dans les menus "Général" puis "Mise à jour logicielle".