La dernière série de mises à jour logicielles d’Apple apporte des correctifs pour les vulnérabilités rendant possibles les récentes attaques sans clic qui ont contourné la sécurité BlastDoor d’Apple dans Messages. iOS 14.8 inclut des correctifs de sécurité pour deux bogues qui ont été activement exploités dans la nature. Rendez-vous service et installez les dernières mises à jour pour fermer ce vecteur d’attaque particulièrement dangereux.
POINTS FORTS DE L’HISTOIRE :
iOS 14.8 corrige une vulnérabilité zero-day utilisée pour exécuter du code malveillantLa vulnérabilité dangereuse peut avoir été exploitée dans MessagesDes mises à jour pertinentes pour iPad, AppleWatch et Mac sont également disponiblesLes correctifs pour les anciens modèles de Mac sont disponibles séparémentIl est vivement recommandé à tous les utilisateurs de mettre à jour dès que possible
Installez les correctifs de sécurité iOS 14.8 dès que possible
Le 13 septembre 2021, Apple a publié iOS 14.8, iPadOS 14.8, watchOS 7.6.2 et macOS Big Sur 11.6 au grand public. Il s’avère que ces mises à jour logicielles pour iPhone, iPad, Apple Watch et Mac incluent un correctif critique pour une vulnérabilité dangereuse que les pirates peuvent et ont probablement déjà utilisé pour cibler des utilisateurs sans méfiance.
Deux bugs ont été découverts dans le logiciel d’Apple. L’un est présent dans le sous-système CoreGraphics qui fournit un rendu 2D léger tandis que l’autre afflige le moteur de mise en page WebKit, utilisé par le navigateur Safari et d’autres fonctionnalités du système qui souhaitent afficher du contenu Web.
Le problème CoreGraphics affecte l’Apple Watch Series 3, l’iPhone 6s, l’iPad Air 2, l’iPad 5, l’iPad mini 4 et versions ultérieures, ainsi que l’iPod touch de septième génération et tous les ordinateurs Mac qui exécutent macOS Big Sur. Le bogue WebKit affecte tous les mêmes appareils, à l’exception de l’Apple Watch.
Le bogue CoreGraphics, découvert par The Citizen Lab (CVE-2021-30860), pourrait entraîner l’exécution de code arbitraire lors du traitement d’un document PDF conçu de manière malveillante. Cela a été corrigé en résolvant un débordement d’entier avec une validation d’entrée améliorée, dit Apple.
Un article d’août 2021 sur le blog The Citizen Lab affirme que la vulnérabilité a été utilisée pour contourner les protections Apple檚 Blastdoor dans Messages. Il a été signalé plus tôt que cette attaque zéro clic avait été utilisée pour pirater les iPhones d’activistes bahreïnis à l’aide du logiciel espion Pegasus de NSO Group.
La même vulnérabilité est présente dans WebKit et a été corrigée avec une gestion améliorée de la mémoire. Le problème WebKit est attribué à un chercheur anonyme (CVE-2021-30858).
Apple a fourni ces documents d’assistance répertoriant le contenu de sécurité des mises à jour :
Un téléchargement dédié de la mise à jour de sécurité 2021-005 Catalina est disponible pour les Mac équipés de Catalina afin de corriger le problème CoreGraphics. De même, les correctifs WebKit pour macOS Catalina et macOS Mojave sont fournis dans le cadre de la mise à jour Safari 14.1.2.
Les deux correctifs sont disponibles via la fonction de mise à jour logicielle sur ces ordinateurs.
En un mot, oui et sans hésiter.
Nous vous recommandons vivement de mettre à jour tous vos iPhones vers iOS 14.8 dès que possible. Et vos appareils iPad, Apple Watch et Mac également, car les mises à jour respectives iPadOS 14.8, watchOS 7.6.2 et macOS Big Sur 11.6 pour ces appareils sont désormais également disponibles.
Si vous ne mettez pas à jour, vos appareils resteront vulnérables à cette attaque particulièrement dangereuse.
Pour mettre à jour le logiciel du système d’exploitation alimentant votre iPhone, iPad ou iPod touch, accédez à Paramètres 鈫 Général 鈫 Mise à jour du logiciel. Assurez-vous que votre appareil est branché sur le secteur et connecté à Internet via Wi-Fi.
Pour mettre à jour le logiciel macOS sur vos ordinateurs Mac, lancez l’application Préférences Système et choisissez淪Mise à jour du logiciel dans la fenêtre Préférences Système, puis suivez les instructions à l’écran pour installer les dernières mises à jour.
Pour mettre à jour le logiciel watchOS sur votre Apple Watch, choisissez Ma montre 鈫 Général 鈫 Mise à jour du logiciel dans l’application Watch associée sur votre iPhone couplé. Vous verrez un message si une mise à jour est disponible. Si vous êtes invité à saisir le code d’accès de votre iPhone ou de votre Apple Watch, saisissez-le.
Assurez-vous que votre Apple Watch est chargée à au moins 50 % et que son iPhone jumelé est connecté à Internet via Wi-Fi. Vous devrez également garder le téléphone et la montre proches l’un de l’autre afin qu’ils soient à portée Bluetooth.
Sachez qu’une mise à jour de watchOS peut prendre de plusieurs minutes à une heure ou plus. Cela étant dit, cependant, les utilisateurs expérimentés voudront peut-être profiter d’une astuce Bluetooth peu connue qui accélère considérablement les mises à jour du logiciel Apple Watch.