Apple: encore des mises à jour pour combler des failles critiques, Réactions à la publication du 04/05/2021

[Lionel]

Apple a mis au téléchargement iOS 14.5.1 et iOS 12.5.3, macOS 11.3.1, et watchOS 7.4.1.
Ces mises à jour viennent combler deux failles (CVE-2021-30665 et CVE-2021-30663) qui permettaient via un contenu web malveillant de provoquer l'exécution de code malveillant sur les appareils concernés.
En résumé simple, la visite d'une page web malveillante permettait à ses promoteurs de prendre le contrôle à distance de ces appareils ou d'accéder à leur contenu.

Apple a reconnu que ces failles ont déjà été activement exploitées.

Lien vers le billet original

[martremblay]

"Ces miss à jour viennent combler deux failles"
Miam ! Tout un programme…

[apocrypha]

Et pour les anciens OS ? On garde les failles ou elle n'existaient que sur Big Sur ?

[pacoul]

Et pour les anciens OS ? On garde les failles ou elle n'existaient que sur Big Sur ?

Gros manque de transparence de la part d'Apple qui ne communique pas (encore ?) là-dessus. Les correctifs ne concernent en tous cas que BigSur, tant pis pour ceux qui utiliseraient un OS vérolé plus ancien.

[Tomek]

Et pour les anciens OS ? On garde les failles ou elle n'existaient que sur Big Sur ?

Gros manque de transparence de la part d'Apple qui ne communique pas (encore ?) là-dessus. Les correctifs ne concernent en tous cas que BigSur, tant pis pour ceux qui utiliseraient un OS vérolé plus ancien.

Même interrogation. J'espère qu'Apple nous éclairera rapidement à ce sujet.

[iAPX]

WebKit est essentiellement une faille de sécurité ambulante, avec du code ayant régulièrement des problèmes d'allocation/désallocation mémoire et spécifiquement du use-after-free amenant à de l'exécution locale...

Pour rendre la chose plus facile et plus efficace, WebKit n'est pas sandboxé correctement comme les Apps Mobiles et Desktop, rendant ainsi le système plus perméable à ce type d'attaque.

Et pour couronner le tout, c'est la seule façon d'afficher du contenu HTML sous iOS, quelque-soit l'App ou le navigateur, dans Mail aussi, imposée par Apple.

Pour résumer, sous iOS, Messages et WebKit sont les deux points d'entrées idéaux pour prendre le contrôle à distance...

Ce message a été modifié par iAPX - 4 May 2021, 11:22.

[downanotch]

Il y a un correctif pour iOS 12.5.x donc on peut supposer que la faille affecte également Mojave et Catalina.

[alexy]

Moi qui tourne encore sous El Capitan (10.11.6), j'ose pas imaginer toutes les failles laissées à l'abandon !
(Mais il se pourrait bien que j'envisage finalement de changer d'ordi car la carte vidéo de mon macbook pro 17 pouces fin 2011 remplacée en 2015 semble de nouveau commencer à montrer des faiblesses. Mais ça, c'est une autre histoire...)

[titalain]

La vérité, c'est que tu as le choix entre une "vieille" machine avec un "vieil" OS et ses failles connues et une nouvelle machine avec de nouvelles failles pas encore publiques...

La bonne question, c'est : A quel moment suis-je vraiment protégé ?
Ma réponse est : JAMAIS!

Sécuriser l'informatique, c'est comme essayer de remplir le tonneau des Danaïdes!

Ce message a été modifié par titalain - 4 May 2021, 18:22.

[Guest_Matyu_*]

Pour info, comme cela avait été le cas avec macOS 11.3 la dernière mise à jour macOS 11.3.1 dépose elle aussi un dossier sur le bureau «Éléments déplacés».
Le dossier «Éléments déplacés» contient un fichier PDF à consulter qui explique ce que sont ces éléments déplacés.

Ce message a été modifié par Matyu - 6 May 2021, 19:09.

[downanotch]

Il y a un correctif pour iOS 12.5.x donc on peut supposer que la faille affecte également Mojave et Catalina.

Le correctif est disponible pour ces deux OS : https://support.apple.com/fr-fr/HT212340

Ce message a été modifié par downanotch - 6 May 2021, 07:52.