Apple patch des failles de traçage et d’exécution de code

La mise à jour iOS 13.3.1 d’Apple inclut plusieurs patchs de sécurité et un moyen de désactiver le traçage U1 Ultra Wideband.

Les dernières mises à jour de sécurité d’Apple adresse un nombre important de bugs. On peut noter des patchs pour des failles à haut-risques qui permettent l’exécution de code à distance. Dans iOS 13.3.1 la possibilité de désactiver le traçage U1 Ultra-Wideband a été ajouté pour les utilisateurs d’iPhone 11 qui se soucient de la confidentialité de leurs données.

Les patchs adressent des vulnérabilités dans les produits Apple Xcode, watchOS, Safari, iTunes pour Windows, iOS, iPadOS, macOS et tvOS. Les bugs les plus importants sont les 4 vulnérabilités d’exécution de code à distance dans tvOS, le système d’exploitation des produits Apple TV.

apple ios

Identifié comme CVE-2020-3868, l’une des failles d’exécution de code à distance de tvOS a un score CVSS de 8,8 sur 10. Le bug est lié aux problèmes de corruption de mémoire dans Webkit, le moteur du navigateur d’Apple. “En persuadant une victime de visiter un site spécial, le hacker peut exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système ou causer un déni de service,” selon une description de la faille.

Les autres bugs d’exécution de code de tvOS (CVE-2020-3840, CVE-2020-3870, CVE-2020-3878) ont tous un score CVSS de 7,8. Deux de ces vulnérabilités d’exécution de code à distance sont liées aux librairies Python du module Imageio de tvOS et la dernière est liée à IPSec, la suite de protocoles réseau sécurisées utilisée par Apple.

Apple donne la possibilité de désactiver U1 Ultra Wideband

En Décembre dernier, KrebsOnSecurity avait révélé le mécanisme de traçage de l’iPhone 11. Le traçage se produisait même si l’utilisateur de l’iPhone 11 avait désactivé les services de localisation de l’appareil. Après avoir fouiné un peu, Brian Krebs a découvert que cette fonctionnalité de traçage était lié à l’utilisation des puces U1 d’Apple. Ces dernières ont été présentées en 2019 et utilisées pour la première fois dans l’iPhone 11S.

Les puces U1 utilisent la technologies Ultra-Wideband et ont pour objectif d’améliorer la performance des services d’Apple comme AirDrop. Les puces U1 peuvent même fournir une localisation précise de la position relative d’un iPhone 11 par rapport à la position d’autres appareils Apple qui sont proches. Cela permet à quelqu’un d’orienter son iPhone 11 vers un autre iPhone 11 pour que l’autre appareil apparaisse dans la liste d’AirDrop pour transférer des fichiers. Aucune découverte manuel n’est nécessaire.

Les usagers ont exprimé leur inquiétude concernant cette nouvelle puce qui permettrait de traquer la localisation des utilisateurs d’iPhone 11. Pour adresser le problème, Apple a ajouté la possibilité de désactiver le traçage de localisation pour les fonctions réseaux et sans-fils. Avec la sortie de iOS 13.3.1, les utilisateurs peuvent désactiver la fonctionnalité de traçage, soit en désactivant les services de localisation ou en désactivant directement la fonctionnalité. Pour la désactiver, les utilisateurs peuvent aller dans Paramètres > Confidentialité > Services de Localisation > Services de Systèmes.

apple iOS 13

Ces mises a jour de sécurité suivent la longue lignée de mises à jour de iOS 13. En Décembre 2019, Apple a déployé iOS 13.3, ce qui a marqué la troisième grosse mise à jour de iOS et iPadOS 13 depuis qu’ils sont sortis le 19 Septembre 2019. Depuis la sortie de iOS 13, Apple a été obligé de distribuer un nombre important de patchs de sécurité, y compris pour une faille concernant les applications de clavier et un bug qui permettait de contourner l’écran de verrouillage.

Selon le site d’Apple, iOS 13 est sensée être ” un moyen simple de vous connecter à des applications ou à des sites web tout en protégeant votre vie privée”. Ils affirment aussi que “le respect de la vie privée est au cœur de tout ce que nous faisons. Et iOS 13 ne fait pas exception”.

Poster un Commentaire

avatar
  S’abonner  
Notifier de