Depuis la semaine dernière, Apple propose une mise à jour iOS 14.2 relativement copieuse au niveau des apports. En marge de cette version d'iOS, le groupe de Cupertino propose une mise à jour iOS 12.4.9 qui s'adresse à de vieux appareils.
iOS 12.4.9 couvre des modèles comme l'iPhone 5s, iPhone 6 et iPhone 6 Plus, ainsi que l'iPad Air, iPad mini 2 et iPad mini 3, ainsi que l'iPod touch de 6e génération. L'iPhone 5s est un smartphone sorti il y a un peu plus de sept ans !
De même, l'iPad Air et l'iPad mini 2 sont des tablettes aussi âgées que l'iPhone 5s à deux mois près. D'après les chiffres de l'App Store communiqués par Apple pour le mois de juin dernier, et donc avant la sortie d'iOS 14, 13 % des iPhone et 16 % des iPad utilisaient iOS 12.
Pour la correction de vulnérabilités de sécurité
La mise à jour iOS 12.4.9 est une affaire de sécurité. Elle permet de combler quatre vulnérabilités de sécurité. Une vulnérabilité en lien avec les appels de groupe FaceTime, et trois vulnérabilités également corrigées avec iOS 14.2 (et iPadOS 14.2).
Identifiées en tant que CVE-2020-27930, CVE-2020-27932 et CVE-2020-27950, ces trois vulnérabilités ont été rapportées par Project Zero de Google. Il est question de l'obtention de privilèges dans le noyau et d'une exécution de code arbitraire avec une fonte de caractères malveillante.
Apple have fixed three issues reported by Project Zero that were being actively exploited in the wild. CVE-2020-27930 (RCE), CVE-2020-27950 (memory leak), and CVE-2020-27932 (kernel privilege escalation). The security bulletin is available here: https://t.co/4OIReajIp6
— Ben Hawkes (@benhawkes) November 5, 2020
La publication d'iOS 12.4.9 par Apple s'explique par l'existence d'un exploit dans la nature tirant parti de l'association des trois vulnérabilités, et autrement dit une attaque active antérieure à la disponibilité des correctifs de sécurité.
Une mise à jour pour des appareils mobiles sortis il y a sept ans est en tout cas rare et à saluer.