Plusieurs vulnérabilités corrigées sur des produits Apple

Apple a publié des mises à jour de sécurité pour Safari, ICloud et ITunes pour Windows, watchOS, iOS, tvOS et macOS Mojave et High Sierra, corrigeant des vulnérabilités importantes. Leur exploitation pourrait permettre à un attaquant d’exécuter du code à distance, d'élever ses privilèges ou accéder à du contenu confidentiel. Au total ce sont plus de 82 failles qui ont été découvertes et corrigées.

De nombreuses vulnérabilités sont communes aux différents produits, en effet à l'exception de Safari, tous sont affectés par une faille dans la librairie corecrypto, qui fournit des fonctions cryptographiques aux différents Frameworks utilisés pour le développement de logiciel sur ces plateformes. De même la bibliothèque WebKit utilisée dans le moteur de rendu des pages web développé par Apple présente plusieurs vulnérabilités liées notamment à une corruption mémoire, dont l'exploitation pourrait permettre à un attaquant d’exécuter du code à distance. En dehors des différentes versions de macOS, tous les produits mentionnés sont concernés.

Les OS d'Apple concentrent la majorité des vulnérabilités découvertes, avec plus de 70 corrigées dans cette mise à jour de fin octobre. On peut y trouver notamment des vulnérabilités dont la publication remonte à 2017, sur les langages Perl et Ruby. L'une des vulnérabilités sur le noyau de l'OS porte le numéro CVE-2018-4407 et pourrait permettre à un attaquant connecté à un réseau Wi-Fi d'exécuter du code à distance sur les systèmes macOS connectés au même réseau. Cette vulnérabilité est détaillé dans un article publié par le chercheur en sécurité l'ayant rapporté. Dans la preuve de concept proposée dans l'article, il réussit à provoquer l'arrêt des systèmes cibles. Cependant, Apple indique que l'exploitation pourrait être poussée jusqu’à l’exécution de code arbitraire.

Sur iOS, deux vulnérabilités se distinguent, elles concernent la fonctionnalité FaceTime. Un attaquant pourrait les exploiter en initiant un appel pour réaliser une exécution de code à distance. Au total sur 31 vulnérabilités ont été corrigées sur le système d'exploitation mobile.
Enfin de manière générale, chaque produit a reçu une mise à jour sur son Kernel.

Apple ne fournit pas de détails techniques sur les vulnérabilités corrigées et ne propose pas non plus d'évaluation de la criticité. Les utilisateurs sont invités appliquer le plus rapidement possible les mises à jour suivantes : version 12.0.1 pour Safari, version 7.8 pour iCloud, version 12.9.1 pour iTunes, version 5.1 watchOS, version 12.1 pour iOS et tvOS et version 10.14.1 pour macOS Mojave.