Apple corrige plusieurs vulnérabilités sur ses produits

Apple a publié le 7 février plusieurs bulletins de sécurité portant sur les produits suivants : macOS, Shortcuts et iOS. Ces produits présentent des vulnérabilités dont l'exploitation pourrait permettre à un attaquant d’exécuter du code arbitraire à distance, d’élever ses privilèges, de forcer un utilisateur à répondre à des appels FaceTime ou d'accéder à des répertoires de manière non autorisée. Au total, ce sont 6 vulnérabilités qui ont été corrigées par ces mises à jour.

Trois des vulnérabilités sont présentes à la fois sur macOS et iOS, car ces composants partagent le même noyau (kernel) et certains composants. Ces vulnérabilités sont spécifiques aux logiciels Apple, la plus critique pouvant permettre de réaliser de l’exécution de code arbitraire en provoquant une corruption de la mémoire dans le composant Foundation (CVE-2019-7286). Les deux autres sont des vulnérabilités découvertes dans le composant FaceTime qui permettent à un attaquant de forcer un utilisateur à répondre à un appel FaceTime de groupe (CVE-2019-6223) ou à interagir avec le composant Live Photos (CVE-2019-7288).

Une vulnérabilité spécifique au composant iOS permet de réaliser de l’exécution de code arbitraire avec des privilèges "kernel" en provoquant une corruption de la mémoire au sein du composant IOKit via l'exploitation d'un défaut de validation sur certains paramètres (CVE-2019-7287).

Enfin, deux vulnérabilités impactent le composant Shortcuts et pourraient permettre à un attaquant d'accèder de manière non autorisée à du contenu sensible (CVE-2019-7289) et de contourner des mécanismes de protection mis en place par l'environnement "bac à sable" du composant (CVE-2019-7290).

Apple ne fournit pas de détails techniques sur les vulnérabilités corrigées et ne propose pas non plus d'évaluation de leur criticité. Les utilisateurs sont invités appliquer le plus rapidement possible les mises à jour suivantes : version 12.1.4 pour iOS, 10.14.3 pour macOS Mojave et 2.1.3 pour Shortcuts.