Apple publie de nouvelles mises à jour corrigeant plusieurs vulnérabilités

Apple a publié de nouvelles mises à jour corrigeant diverses vulnérabilités identifiées dans plusieurs de ses produits (cf. ci-dessous pour la liste). Les vulnérabilités permettent d’exécuter du code arbitraire localement ou à distance, d’attenter à la confidentialité et l’intégrité des informations manipulées par les systèmes ou encore de provoquer un déni de service.

Les produits impactés sont :

  • Cloud pour Windows 7.1
  • iOS 11.1
  • iTunes 12.7.1 pour Windows
  • macOS High Sierra 10.13.1
  • Safari 11.1
  • tvOS 11.1
  • watchOS 4.1

Il est recommandé de mettre à jour tous ces produits et autres logiciels supportés par Apple à la dernière version publiée.

Parmi les vulnérabilités identifiées et corrigées, nous pouvons citer :

  • Des vulnérabilités permettant l’exécution de code arbitraire localement ou à distance corrigées dans dix-sept composants de produits Apple. Le noyau des systèmes d’exploitation, webkit, l’API du format de texte et le système de fichiers HTML peuvent être compromis suite à des corruptions de la mémoire, une exécution de fichier malicieux ou une erreur de validation des entrées utilisateurs.
  • D’autres failles impactant la confidentialité et l’intégrité des données ont été corrigées dans le même correctif pour 16 composants. Ces vulnérabilités sont associées à des erreurs d’assainissement des données d’entrée, une mauvaise gestion de la mémoire et un manque de contrôle sur les permissions. Dans des cas particuliers, l’information manipulée par certains composants peut être altérée.
  • Des vulnérabilités pouvant provoquer un déni de service sur quatre composants : ces vulnérabilités sont liées à une mauvaise gestion de la mémoire ou une erreur de vérification des limites des applications.
  • Des vulnérabilités pouvant entraîner une usurpation d’URL ou de service dans Safari, le navigateur Web, dans le système d’exploitation Sierra.
  • De plus, Apple a publié des correctifs corrigeant la vulnérabilité de réinitialisation de clé de chiffrement WPA2 (KRACK).
  • Enfin, d’autres vulnérabilités à impacts non-spécifiés par l’éditeur ont été corrigées dans cette dernière publication.