ios 12.2

Mise à jour IOS 12.2: Plusieurs vulnérabilités patchées

Apple a présenté une mise à jour de iOS 12.2 pour patcher 51 vulnérabilités dans son système d’exploitation pour smartphone, ces failles affectent les iPhone 5s et les versions postérieures, les iPad Air et les iPod touch de 6ème génération.

iOS, anciennement iPhone OS le « i » de iOS étant pour iPhone d’où la minuscule, est le système d’exploitation mobile développé par Apple pour plusieurs de ses appareils. Il est dérivé de macOS dont il partage les fondations (le noyau hybride XNU basé sur le micro-noyau Mach, les services Unix et Cocoa, etc.). iOS comporte quatre couches d’abstraction, similaires à celles de macOS : une couche « Core OS », une couche « Core Services », une couche « Media » et une couche « Cocoa ». Le système d’exploitation occupe au maximum 3 Go de la capacité mémoire totale de l’appareil, selon l’appareil.

Une majorité des vulnérabilités patchées par Apple réside dans le moteur WebKit, utilisés par plusieurs applications.

Détails des vulnérabilités d’iOS 12.2

Selon le compte-rendu, ouvrir du contenu web malveillant en utilisant une version vulnérable de WebKit permet à des individus malveillants d’exécuter du code arbitraire à distance, de divulguer des informations sensibles, contourner les restrictions de sandbox, ou lancer des attaques XSS(Cross Site-Scripting) sur l’appareil.

Parmi les vulnérabilités de WebKit on trouve un problème constant (CVE-2019-6222) qui permet à des sites malveillants d’accéder au micro d’un appareil iOS 12.2 sans que l’indicateur “microphone en cours d’utilisation” n’apparaisse.

Une vulnérabilité similaire (CVE-2019-8566) a été patché dans l’API ReplayKit d’Apple, cette faille permettait à une application malveillante d’accéder au micro d’un appareil iOS 12.2 sans alerter l’utilisateur.

Apple a aussi patché un autre bug (CVE-2019-8503) dans WebKit qui aurait permis à un site malveillant d’exécuter des scripts dans le contexte d’un autre site, donnant la possibilité de voler des informations stockées sur d’autres sites ou de lancer des attaques en ligne.

En plus des problèmes de WebKit, le compte rendu a aussi révélé l’existence d’une faille critique dans les anciennes versions d’iOS qui permet d’exécuter du code arbitraire en poussant les victimes à cliquer sur un lien malveillant envoyé par SMS.

La vulnérabilité SMS, identifiée en tant que CVE-2019-8553, affectent les iPhone 5s et les versions postérieures, les iPad Air et versions postérieures, et les iPod touch de 6ème génération.

Apple a aussi patché un total de 6 vulnérabilités dans le kernel iOS, parmi lesquelles CVE-2019-8527 permet à un attaquant distant de crasher le système ou de corrompre la mémoire du kernel. CVE-2019-8514 peut être utilisé pour élever ses privilèges, et permettre aux applications malveillantes de lire la structure de la mémoire.

Les détails techniques et le code proof-of-concept des nouvelles failles patchées d’iOS 12.2 ne sont pas encore disponibles.

Si cet article vous a plu, jetez un œil à la dernière vulnérabilité d’iOS que nous avons reporté.

Leave a Reply