Apple publie des mises à jour de sécurité pour iOS 12 et iCloud for Windows

Apple a publié deux mises à jour de sécurité pour iOS 12 et iCloud sur Windows corrigeant des vulnérabilités de criticité moyenne. La mise à jour d'iCloud corrige plusieurs vulnérabilités découvertes le 26 septembre dans le sous-composant Webkit. 

Les vulnérabilités sur iOS 12 concernent le contournement du verrouillage des iPhone. Un attaquant pourrait les exploiter pour avoir accès aux photos, aux contacts ou aux fonctions de partage, le tout depuis l’écran de verrouillage. Cela nécessite néanmoins l’accès physique au téléphone. 

Les vulnérabilités de WebKit pour iCloud sont au nombre de 19. Peu de détails sont disponibles à leur sujet, leur exploitation pourrait permettre une exécution de code à distance ou un déni de service. Un attaquant pourrait ainsi concevoir une page web exécutant un script malveillant pour exploiter la faille. Une interaction utilisateur est donc nécessaire. Selon les chercheurs en sécurité ayant découvert la vulnérabilité, les correctifs rendent l’exploitation de la vulnérabilité beaucoup plus complexe.

Afin de mettre à jour les différents produits vulnérables, les utilisateurs sont invités à se référer aux bulletins de vulnérabilité Apple correspondants (cf. section liens). 

Des preuves de concepts ont été publiées par les chercheurs de Google via le blog Project Zero pour permettre l’exploitation des vulnérabilités WebKit dans Safari 11.1.2. L’exploitation des vulnérabilités iOS a été rendue publique par un vidéaste espagnol qui détaille dans une vidéo les 37 étapes du processus.