A l’occasion de la WWDC 2021, la firme avait présenté différentes fonctionnalités dans ses systèmes d’exploitation, à savoir iOS 15.6, iPadOS 15.6 et MacOS 12.5, afin de renforcer la confidentialité des données. Ce mercredi, Apple a publié en urgence deux patchs de sécurité : iOS 15.6.1, iPadOS 15.6.1 et MacOS Monterey 12.5.1. La firme de Cupertino indique que la première faille peut permettre à une application d'exécuter du code arbitraire avec les privilèges du noyau et peut avoir été activement exploitée. La seconde faille, qui impacte WebKit, le moteur du navigateur Safari et peut là aussi conduire à l'exécution de code arbitraire. Il est vivement conseillé de mettre à jour son iPhone, iPad ou Mac dès maintenant.

Deux vulnérabilités dans iOS 15.6, iPadOS 15.6 et MacOS 12.5

Les notes fournies par Apple sont simples, indiquant seulement que la mise à jour « fournit d'importantes mises à jour de sécurité et est recommandée pour tous les utilisateurs ». Dans le détail, la page de contenu de sécurité précise que deux vulnérabilités ont été corrigées. La première, baptisée CVE-2022-32894, a été découverte par un chercheur anonyme, il s’agit d’un problème de noyau décrit comme « une application peut être en mesure d'exécuter du code arbitraire avec les privilèges du noyau ». La seconde faille, CVE-2022-32893, également découverte par un chercheur anonyme touche WebKit. Elle est décrite comme « le traitement de contenu web malveillant conçu peut conduire à l'exécution de code arbitraire ». Pour ces deux problèmes, Apple dit avoir connaissance de rapports indiquant que le problème a pu être activement exploité.

Les vulnérabilités CVE-2022-32894 et CVE-2022-32893 ont donc pu être exploitées sur iOS, iPadOS ainsi que MacOS. Les deux correctifs sont valables pour les modèles suivants : iPhone 6s et ultérieur, iPad Pro (tous les modèles), iPad Air 2 et ultérieur, iPad 5ème génération et ultérieur, iPad mini 4 et ultérieur, et iPod touch (7ème génération) et les Mac. Ces problèmes de sécurité sont assez importants. L'exécution de code arbitraire est d'une gravité importante - car le code malveillant peut s'exécuter en arrière-plan à chaque fois que le téléphone d’un utilisateur redémarre et peut se livrer à toutes sortes d'activités en contournant les mesures de sécurité habituelles.

Comment mettre à jour ?

Pour actualiser son appareil vers iOS ou iPadOS 15.6.1, il suffit d’aller dans Paramètres, appuyer sur Général, puis sur Mise à jour du logiciel.

Pour effectuer la mise à jour vers MacOS 12.5.1, l’utilisateur doit ouvrir les « Préférences Système », cliquer sur « Mise à jour du logiciel ». Si une mise à jour est disponible pour le Mac, l’utilisateur aura la possibilité de cliquer sur « Mettre à jour maintenant », puis de télécharger le programme d'installation de la mise à jour de MacOS. Une fois le programme d'installation téléchargé, il suffit de cliquer pour installer la dernière mise à jour. Le Mac devra redémarrer pour terminer l'installation.