Vue d’ensemble
Apple a publié de nouvelles mises à jour corrigeant diverses vulnérabilités identifiées dans plusieurs de ses produits. Les vulnérabilités corrigées permettent d’exécuter du code de manière arbitraire à distance, de provoquer un déni de service et de nuire à la confidentialité et l’intégrité des données sur les systèmes ciblés.
Il est recommandé aux utilisateurs et aux administrateurs de consulter les avis de mises à jour de sécurité Apple et d’appliquer les mises à jour nécessaires.
Les produits concernés sont :
- Safari 11.0.3
- WatchOS 4.2.2
- iOS 11.2.5
- MacOs High Sierra 10.13.3, Mise à jour de sécurité 2018-001 Sierra et mise à jour de sécurité 2018-001 El Capitan
- tvOS 11.2.5
Détail technique
Parmi les vulnérabilités identifiées et corrigées, on retrouve :
- Trois vulnérabilités de traitement incorrect du contenu des pages web permettant l’exécution du code arbitraire à distance sur le composant Webkit des produits Safari, WatchOS, iOS, tvOS et MacOs. Ces failles (CVE-2018-4088, CVE-2018-4089, CVE-2018-4096), dues à une corruption de mémoire, ont été résolues grâce à une gestion améliorée de la mémoire.
- Plusieurs vulnérabilités affectant le noyau des systèmes d’exploitation WatchOS, iOS, tvOS et MacOs. Ces vulnérabilités pourraient permettre à des applications malveillantes d’accéder à la mémoire restreinte ou d'exécuter du code arbitraire avec les privilèges élevés. Ceci est dû à des problèmes d'initialisation ou de corruption de la mémoire, des situations de concurrence ou bien de validation incorrecte des entrées.
Patch a également corrigé la vulnérabilité Meltdown permettant la lecture de la mémoire du noyau. - Une vulnérabilité dans le traitement des fichiers audio qui peut permettre l'exécution de code arbitraire à cause d’un problème de corruption de mémoire.
- Le patch corrige également plusieurs vulnérabilités sur d’autres composants notamment Core Bluetooth, LinkPresentation et QuartzCore qui permettent d’induire des dénis de service ou d’exécuter du code arbitraire à distance.
Il est recommandé de consulter les avis de mises à jour de sécurité publiés par Apple sur chaque produit pour avoir plus de détails sur les différentes vulnérabilités.