Apple a publié de nouvelles mises à jour corrigeant plusieurs vulnérabilités sur ses produits

Vue d’ensemble

Apple a publié de nouvelles mises à jour corrigeant diverses vulnérabilités identifiées dans plusieurs de ses produits. Les vulnérabilités corrigées permettent d’exécuter du code de manière arbitraire à distance, de provoquer un déni de service et de nuire à la confidentialité et l’intégrité des données sur les systèmes ciblés.

Il est recommandé aux utilisateurs et aux administrateurs de consulter les avis de mises à jour de sécurité Apple et d’appliquer les mises à jour nécessaires.
Les produits concernés sont : 

• Safari 11.0.3 
• WatchOS 4.2.2
• iOS 11.2.5
• MacOs High Sierra 10.13.3, Mise à jour de sécurité 2018-001 Sierra et mise à jour de sécurité 2018-001 El Capitan
• tvOS 11.2.5

Détail technique

Parmi les vulnérabilités identifiées et corrigées, on retrouve :

• Trois vulnérabilités de traitement incorrect du contenu des pages web permettant l’exécution du code arbitraire à distance sur le composant Webkit des produits Safari, WatchOS, iOS, tvOS et MacOs. Ces failles (CVE-2018-4088, CVE-2018-4089, CVE-2018-4096), dues à une corruption de mémoire, ont été résolues grâce à une gestion améliorée de la mémoire.
• Plusieurs vulnérabilités affectant le noyau des systèmes d’exploitation WatchOS, iOS, tvOS et MacOs. Ces vulnérabilités pourraient permettre à des applications malveillantes d’accéder à la mémoire restreinte ou d'exécuter du code arbitraire avec les privilèges élevés. Ceci est dû à des problèmes d'initialisation ou de corruption de la mémoire, des situations de concurrence ou bien de validation incorrecte des entrées.
  Patch a également corrigé la vulnérabilité Meltdown permettant la lecture de la mémoire du noyau.
• Une vulnérabilité dans le traitement des fichiers audio qui peut permettre l'exécution de code arbitraire à cause d’un problème de corruption de mémoire.
• Le patch corrige également plusieurs vulnérabilités sur d’autres composants notamment Core Bluetooth, LinkPresentation et QuartzCore qui permettent d’induire des dénis de service ou d’exécuter du code arbitraire à distance.

Il est recommandé de consulter les avis de mises à jour de sécurité publiés par Apple sur chaque produit pour avoir plus de détails sur les différentes vulnérabilités.