Apple vient de diffuser iOS 8.4 et OS X 10.10.4. Pour ces mises à jour des systèmes d'exploitation de la firme à la pomme, le contenu en matière de correctifs de sécurité est assez conséquent. Un peu plus d'une trentaine de patchs pour iOS et un peu moins de quatre-vingts pour OS X.

bug Il y a cependant des redondances de patchs entre les deux systèmes d'exploitation. On rappellera par ailleurs l'emploi par Apple de composants open source pour lesquels la recherche de vulnérabilités est très active.

Si le bilan comptable de failles à corriger est élevé, ce n'est pas une surprise. C'est une tendance déjà observée depuis de longs mois. D'après GFI Software, qui a examiné les données de la National Vulnerability Database, OS X, iOS et le noyau Linux ont été davantage affectés par des vulnérabilités de sécurité en 2014 que Windows.

Le regret habituel est qu'Apple - contrairement à Microsoft - ne met pas l'accent sur le degré de dangerosité des vulnérabilités dans ses notes de version. C'est pour ainsi si dire comme si le niveau critique n'existait pas.

Dans les dernières notes de version (pour la sécurité) qui viennent d'être publiées, les jailbreakers seront contents de constater qu'il n'est pas fait mention de vulnérabilités découvertes par la team TaiG. Apple n'a ainsi pas bloqué l'exploit de TaiG pour le jailbreak d'iOS 8.4 ce qui a permis aux hackers de proposer rapidement TaiG 2.2.0.

Tant pour iOS que OS X, on remarquera le comblement de la vulnérabilité mise au jour début juin par le chercheur en sécurité Jan Soucek et affectant le client natif de messagerie Mail. Son exploitation pourrait permettre à des attaquants de dérober des identifiants de connexion par le biais d'un formulaire HTML trompeur (imitant une demande de connexion iCloud dans une preuve de concept).

Pour les ordinateurs Mac, à signaler deux corrections apportées à l'EFI (Extensible Firmware Interface) dont pour la vulnérabilité divulguée fin mai par le chercheur en sécurité Pedro Vilaca. Son exploitation permet à un attaquant de flasher le firmware de certains ordinateurs Mac pour y installer un malware de type rootkit. Symantec avait évoqué la faisabilité d'une exploitation à distance grâce à un autre exploit permettant un accès root, et lorsque l'ordinateur est en veille.