iOS 8.4 et OS X 10.10.4 : des patchs à gogo

Le par  |  1 commentaire(s)
Pansement

Les deux dernières mises à jour des systèmes d'exploitation d'Apple pour iPhone / iPad et Mac ont droit à une flopée de correctifs de sécurité. Et ils ne sont pas à négliger.

Apple vient de diffuser iOS 8.4 et OS X 10.10.4. Pour ces mises à jour des systèmes d'exploitation de la firme à la pomme, le contenu en matière de correctifs de sécurité est assez conséquent. Un peu plus d'une trentaine de patchs pour iOS et un peu moins de quatre-vingts pour OS X.

bugIl y a cependant des redondances de patchs entre les deux systèmes d'exploitation. On rappellera par ailleurs l'emploi par Apple de composants open source pour lesquels la recherche de vulnérabilités est très active.

Si le bilan comptable de failles à corriger est élevé, ce n'est pas une surprise. C'est une tendance déjà observée depuis de longs mois. D'après GFI Software, qui a examiné les données de la National Vulnerability Database, OS X, iOS et le noyau Linux ont été davantage affectés par des vulnérabilités de sécurité en 2014 que Windows.

Le regret habituel est qu'Apple - contrairement à Microsoft - ne met pas l'accent sur le degré de dangerosité des vulnérabilités dans ses notes de version. C'est pour ainsi si dire comme si le niveau critique n'existait pas.

Dans les dernières notes de version (pour la sécurité) qui viennent d'être publiées, les jailbreakers seront contents de constater qu'il n'est pas fait mention de vulnérabilités découvertes par la team TaiG. Apple n'a ainsi pas bloqué l'exploit de TaiG pour le jailbreak d'iOS 8.4 ce qui a permis aux hackers de proposer rapidement TaiG 2.2.0.

Tant pour iOS que OS X, on remarquera le comblement de la vulnérabilité mise au jour début juin par le chercheur en sécurité Jan Soucek et affectant le client natif de messagerie Mail. Son exploitation pourrait permettre à des attaquants de dérober des identifiants de connexion par le biais d'un formulaire HTML trompeur (imitant une demande de connexion iCloud dans une preuve de concept).

Pour les ordinateurs Mac, à signaler deux corrections apportées à l'EFI (Extensible Firmware Interface) dont pour la vulnérabilité divulguée fin mai par le chercheur en sécurité Pedro Vilaca. Son exploitation permet à un attaquant de flasher le firmware de certains ordinateurs Mac pour y installer un malware de type rootkit. Symantec avait évoqué la faisabilité d'une exploitation à distance grâce à un autre exploit permettant un accès root, et lorsque l'ordinateur est en veille.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1848015
Maj également sur la version 10.9.5 de l'EFI.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]