Apple vient de publier des mises à jour de sécurité pour OS X et Safari. Dans les deux cas, il s'agit de combler des failles 0-day qui ont déjà été bouchées sur iOS avec la mise à jour 9.3.5.
La semaine dernière, Apple corrigeait un trio (baptisé Trident) de failles 0-day exploitées depuis trois ans, via iOS 9.3.5. Les terminaux mobiles ne sont pas les seuls concernés, car OS X ainsi que Safari sont également touchés. Des patchs sont désormais disponibles.
Des vulnérabilités dans le système et Safari
Pour les ordinateurs, la faille est identifiée sous les références CVE-2016-4655 (fuite d'informations dans le noyau) et CVE-2016-4656 (possibilité d'exécuter du code arbitraire). Il s'agit de deux des trois bulletins en lien avec iOS 9.3.5. Les mises à jour correctives concernent OS X Yosemite (10.10.5) ainsi qu’OS X El Capitan (10.11.6). Comme toujours, les mises à jour sont disponibles dans le Mac App Store.
De son côté, Safari passe en version 9.1.3 afin de boucher la faille CVE-2016-4654, qui a exactement les mêmes impact et description que le bulletin CVE-2016-4657 d'iOS 9.3.5. Notez que les deux mises à jour d'OS X intègrent directement celle de Safari.
Citizen Lab et Lookout à l'origine des découvertes
Cette fois encore, Apple indique que Citizen Lab et Lookout sont à l'origine de cette découverte, suite à une remontée d'information de la part d’Ahmed Mansoor (voir cette actualité pour tous les détails). Citizen Lab a d'ailleurs mis à jour son billet de blog afin d'indiquer que « les vulnérabilités Trident utilisées par le groupe NSO auraient pu être utilisées comme une arme contre les utilisateurs d'appareils qui ne fonctionne pas sous iOS, ce qui comprend OS X ». Une formulation qui laisse penser que d'autres systèmes pourraient être touchés.
Il est, quoi qu'il en soit, recommandé aux utilisateurs d'installer les mises à jour dès que possible. Citizen Lab explique qu'il ne publiera pour le moment pas de prototype permettant de reproduire cette attaque afin de protéger les investigations qui sont en cours.
