Patchez vos Mac, vos utilisateurs et vos montres Apple et vos anciens iPhone, iPad et iPod Touch.
Apple a publié hier (26 septembre) une mise à jour d'urgence pour les Mac afin de corriger une faille qui permettrait à un "attaquant distant… de provoquer la fermeture inattendue d'une application ou l'exécution de code arbitraire".
En clair, cela signifie qu'un pirate pourrait accéder à votre Mac depuis Internet et exécuter un code malveillant ou fermer des applications légitimes. Inutile de dire que c'est très mauvais.
Des correctifs ont également été publiés hier pour watchOS (5.3.2) et iOS 12 (12.4.2) pour corriger la même faille. Les nouveaux iPhones, iPads et iPods ont été corrigés la semaine dernière avec la sortie d'iOS 13, mais de nombreux appareils iOS plus anciens, tels que les iPhone 5s, 6 et 6 Plus, doivent s'en tenir à iOS 12.
Les correctifs Mac concernent les trois dernières versions de macOS - 10.14 Mojave, 10.13 High Sierra et 10.12 Sierra - mais vous n'obtiendrez pas de nouveau numéro de version pour votre build. Les versions plus anciennes et non prises en charge de macOS/OS X sont également susceptibles d'être affectées. (Si vous utilisez toujours l'un d'entre eux, il est temps de mettre à jour.)
Éclaircir un mystère
Apple n'en dit pas beaucoup plus sur la faille, à part qu'elle implique "une lecture hors limites [qui] a été traitée avec une validation d'entrée améliorée", a été découverte par les chercheurs de Google Project Zero, Samuel Groß et Natalie Silvanovich, et a été a attribué le numéro de vulnérabilité et d'exposition communes (CVE) CVE-2019-8641.
Mais il s'avère que la vulnérabilité remonte à plusieurs mois et n'a pas été résolue longtemps après qu'une série de failles similaires ait été corrigée.
Ce matin (27 septembre), Paul Ducklin de Sophos a fait le lien et a compris qu'il s'agissait du dernier de plusieurs défauts principalement iOS que Groß et Silvanovich ont révélés au cours de l'été, et le seul de ces défauts à rester inexpliqué et non corrigé pour près de deux mois.
Vous vous souviendrez peut-être qu'un certain nombre de défauts d'Apple Messages ont été révélés fin juillet, qu'Apple a principalement corrigés avec iOS 12.4. Certaines des failles auraient permis aux pirates de s'emparer des iPhones simplement en envoyant un message spécialement conçu.
Comme c'est la procédure standard, les chercheurs de Project Zero ont expliqué exactement comment les bogues fonctionnaient après qu'Apple a publié iOS 12.4. Mais ils ont retenu des informations sur une faille car ils estimaient qu'iOS 12.4 ne la réparait pas complètement.
"Nous suspendons CVE-2019-8641 jusqu'à sa date limite car le correctif de l'avis n'a pas résolu la vulnérabilité", a écrit Silvanonovich sur Twitter le 29 juillet.
La faille mystérieuse n'a pas été révélée pendant encore deux mois, alors même que Silvanovich et Groß ont poursuivi leurs recherches et ont présenté leurs conclusions lors de la conférence sur la sécurité Black Hat en août, et qu'Apple a mis à jour iOS vers la version 12.4.1 et publié un "supplémentaire" mise à jour vers macOS Mojave 10.14.6.
Enfin, une divulgation complète
Maintenant que tout est vraiment réglé, le chat est sorti du sac. Silvanovich a discrètement rendu publics les détails de CVE-2019-8641 lundi 23 septembre, après la sortie d'iOS 13, dans un article de blog Project Zero.
Son explication de la vulnérabilité dépasse l'entendement pour quiconque ne connaît pas bien le fonctionnement interne d'iOS, mais elle a noté que "ce problème n'a pas encore été résolu pour Mac et iPad, mais n'est maintenant qu'une vulnérabilité locale en raison du changement de 12.4. .1."
Ces vulnérabilités locales, vraisemblablement, ont maintenant été corrigées avec la mise à jour iOS 12.4.2 et les correctifs macOS.
Crédit image : blackzheep/Shutterstock