L’entreprise a publié hier soir des mises à jour pour l’ensemble de ses plateformes. Elles corrigent plusieurs vulnérabilités, dont une critique, déjà exploitée.
Quand Apple lance des mises à jour mineures ne contenant que des correctifs de sécurité, c’est qu’il ne faut pas attendre. iOS, iPadOS, macOS, watchOS et Safari ont tous reçu une nouvelle version hier soir, corrigeant deux ou trois failles selon les cas.
Dans iOS et iPad 16.3.1, on trouve deux correctifs. La première faille, CVE-2023-23514, peut permettre l’exécution de code arbitraire avec des privilèges noyau. Elle a été découverte par Xinru Chi du Pango Lab et Ned Williamson du Google Project Zero. Le niveau de risque est considéré comme faible. Mais c’est surtout la deuxième qui retient l’attention.
Estampillée CVE-2023-23529 et découverte par un chercheur ou une chercheuse anonyme, elle peut permettre l’exécution d’un code arbitraire en cas de lecture d’une page web spécialement conçue. De ce fait, la faille est critique, car l’utilisateur n’a rien à faire d’autre que de visiter un site malveillant. Facteur aggravant, cette vulnérabilité est déjà exploitée.
Cette brèche est présente sur toutes les plateformes ainsi que dans Safari. Il est donc conseillé d’installer le correctif au plus vite, car l’exploitation de la brèche peut passer par des mails d’hameçonnage et autres techniques pour diffuser des liens.
Sur macOS, la version 13.2.1 colmate une vulnérabilité supplémentaire. Nommée CVE-2023-23522, elle réside dans l’application Raccourcis et peut permettre la visibilité de certaines informations de l’utilisateur. La correction passe par une meilleure gestion des fichiers temporaires. Le risque est considéré comme faible.
Les mises à jour sont relativement légères sur iOS (entre 200 et 300 Mo), mais celle de macOS est grimpée jusqu’à presque 2 Go sur une machine qui était à jour. Comme toujours, l’installation prend plus ou moins de temps selon les performances de l’appareil et un redémarrage sera requis.
Commentaires (25)
#1
Les mises à jour sont relativement légères sur iOS (entre 200 et 300 Mo),
Ça me semble déjà énorme. A priori il s’agit de corriger une (ou quelques) bibliothèques.Donc si les bibliothèques font plusieurs centaines de Mo, ça me semble gigantesque. N’y aurait-il pas un intérêt à faire des bibliothèques plus « petites » ? Et je ne parle pas de la correction dans macOS …
#1.1
Il y a quand même une correction du noyau. Après, j’ignore la taille de XNU sur iOS…
#1.2
Un kernel BSD ça pèse en moyenne 500Mo, de mémoire, donc c’est pas déconnant pour des mises à jour du noyau ;-)
#2
Compliqué de maintenir des grosses bibliothèques en effet. En dehors du poids du téléchargement il y a la difficulté de faire du code sans bug dont la complexité est déjà hors de portée de l’humain manifestement.
Peut-être que l’on va confier aux ia le soin de trouver des failles à l’avenir en réalisant des test en boite noire plutôt qu’en cherchant dans les codes sources comme le font déjà pas mal d’outils d’audit.
Perso, je pense que des langages comme le Rust vont permettre de réduire cette complexité d’intégration même si ce n’est pas l’alpha et l’oméga.
#2.1
il existe aussi des outils pour réaliser des tests en boîte noire - ceux que je connais sont plutôt chers, mais sont largement à la portée d’un Apple.
)
(sont-ils capables de repérer ce type de failles ? Là, je donne mon joker
#3
Je ne sais pas dans macOS, mais dans .Net il arrive d’avoir des softs dont les DLL sont reconnues par leur signature. Du coup il faut redéployer plusieurs DLL ensemble pour qu’elles se reconnaissent. Question de CQ.
A une époque ou les smartphones ont 4 à 12Go pour lancer une seule appli à la fois alors que je peux traiter email et bureautique sur un ordi avec 4Go de RAM (et c’est déjà énorme) je ne m’étonne plus…
#3.1
J’avoue ça me grille d’avoir mon smartphone clore la 3ème applis presque 30 secondes après avoir lancée la dernière avec 6Go de RAM.
#4
Tiens, bien la prochaine fois que j’entendrais un Fanboy me dire que son iPhone est hyper secured (vu le prix auquel il racké pour l’avoir, la moindre des choses c’est quand même d’y croire et d’en être persuadé…), et bien je lui claquerai ça dans les gencives….Ça peut pas faire de mal un peu de réalisme…
#4.1
Ce n’est la première fois chez Apple en 2023, mais pas la première fois tout court. Tous les softs auront tôt ou tard des failles révélées, la question ce serait plutôt leur prise en charge et la rapidité de correction.
#4.2
J’ai pas tout compris ta phrase
De toute façon, je pense que les OS les plus répandus sont particulièrement visés, et qu’il y aura toujours des failles. Le problème c’est que même en intervenant super vite pour colmater, on ne sait pas depuis quand la faille est présente et si elle est allègrement exploitée depuis, ou pas.
#4.3
En attendant, sur un Iphone, tu as encore des mises à jour pour être plus sécurisé après plusieurs années (5 à 7 ans). Sur d’autres marques comme Samsung, on te demande plutot de changer de téléphone pour être plus sécurisé, et seulement au bout de 2⁄3 ans…
Envoyé de mon iphone
#4.4
Pour l’iphone 7, il a été vendu encore 2 ans après son introduction sur le marché et a eu au total 5 ans de support.
Les derniers acheteurs ont donc eu 3 ans de support ce qui fait un peu juste quand même.
#4.6
C’est nouveau de compter la durée de support d’un appareil à partir de sa date d’arrêt production ?
Sinon, pour l’iPhone 7, iOS10>iOS15, ça fait 6 ans à partir de la date initiale de sortie, et iOS15 reçoit normalement encore les mises à jour de sécurité.
#4.13
Pour l’acheteur, ce qui compte, c’est la durée de support depuis la date de l’achat.
Pour l’iphone 7 :
Commercialisation 16 septembre 2016
Fin de production 20 septembre 2019
(source https://fr.wikipedia.org/wiki/IPhone_7 )
fin du support : ios15 donc jusqu’à la sortie d’iOS 16 en septembre 2022soit 3 ans après la fin de production.
Par contre, grâce à toi (merci), je découvre que mon iphone 7 sous ios15 a droit à des mises à jour de sécurité (iOS 15.7.3). Si j’avais su … :-)
Les mises à jour de sécurité, c’est ce qui est important donc je retire ce que j’ai dit.
#4.5
Là dessus, je suis tout à fait d’accord. J’avais acheté d’occaz une iPad Pro 12” de 2015 pour mes parents qui s’en servent tous les jours et il reçoit toutes les maj iPadOS et tourne nickel. Pour mon Xiaomi Mi8 de 2017, je suis passé à LineageOS 20 - Android 13 et des Maj OTA quasiment tous les 2 semaines. C’est royal et maintenant sans effort (pas besoin de flasher les nouvelles versions de ROM, il fait ça comme un grand tout seul).
Mon commentaire était plutôt pour me moquer de la rengaine qu’on entendait souvent avant : “y’a pas de virus sur les Mac”, mais je ne dénigre pas le boulot d’Apple pour faire de son mieux sur le colmatage de brèches. Simplement ça existe aussi chez eux les problèmes de sécurité.
#4.9
Bien sur que les breches existent chez eux. Mais les parts de marché sont juste trop faible sur Mac pour que ce soit interessant de s’attaquer au système.
Si les parts entre mac et Windows étaient inversées, il y aurait exactement la même problématique.
Mais je reste d’accord avec les attitudes disant “il n’y a pas de virus/breche/autre sur mac c’est mieux”, c’est une réalité par rapport au fait que le système n’est que peu attaqué mais c’est aussi se voiler la face
#4.12
#4.7
Samsung a fait des gros progrès depuis l’arrivé de la gamme s21.
Par exemple pour les s23 c’est 4ans de feature update et 5ans de security update.
https://www.samsung.com/ae/support/mobile-devices/how-many-operating-system-update-can-i-expect-to-support-if-i-buy-the-s23-series/
#4.8
Bien sur que les progrets sont la (et heureusement !)
Mais globalement les constructeurs restent très globalement très limités dans leur suivi sauf à prendre un autre téléphone. Rare sont ceux qui proposent un réel suivi sur la durée
C’est juste, mais cela reste mieux que la grande majorité. Tout le monde ne peut pas aller sur un OS alternatif
Quand je vois, lorsque j’avais un S8 je ne l’ai pas acheté le jour de sa sortie mais 1ans et de mi plus tard et déjà le support était limité.
Puis 1 an plus tard : annonce de je ne sais quel faille critique –> “aucune correction ne serait faite sur le S8, allez sur le s10”. Donc globalement, au bout de 3 ans de vente, tu étais déjà exposé et le support était arreté. C’était la goutte d’eau qui m’a fait basculer du coté de la pomme, surtout quand tu sais que le prix des téléphones étaient globalement proche entre les deux
#4.10
+1
J’ai achete mon S8 nu quelques semaines apres la presentation du S9. Je ne voyais pas l’interet de prendre le dernier joujou alors qu’il y avait si peu de differences…
J’ai dechante bien vite vu la vitesse avec laquelle le S8 a ete abandonne.
Je l’ai garde jusqu’en 2021, remplace par un Iphone 12. Par contre, a ce stade la je n’utilisais que des applications specifiques (double auth, banque et assurance), pas de navigation web, pas d’email…
#4.14
j’ai raconté des bétises. Je viens de découvrir que mon iphone 7 a encore droit à des mises jour de sécurité sous iOS 15.
#4.11
Ha oui, ça change pas mal des 18 mois “informels” !
Ils ont enfin fini par comprendre au Marketing que la mentalité “j’achète un smartphone qui devient semi jetable après 2 ans”, et bien qu’en 2022-2023, c’était plus trop la tendance de fond des consommateurs (même s’il faut bien en vendre des dizaines de millions de smartphones tous les ans…)
#5
JAILBREAK
A t-on des news ? Un exploit concernant cette faille qui laisse un espoir de jailbreak d’iOS 16.3 sur les dernier modèles ?
#6
A noter aussi que l’iPhone 14 et le Galaxy S24 sont d’avantage conçus pour être réparés.
Exemples :
https://www.macrumors.com/2023/02/09/apple-discusses-iphone-14-design-repairability/
https://wccftech.com/replacing-the-battery-on-your-galaxy-s23-ultra-is-a-lot-easier/
Et pour info s21 et s22 font partit d’un partenariat avec ifixit pour l1 commande de pièces et les tutoriels :
https://www.engadget.com/samsung-self-repair-program-galaxy-right-to-repair-150018106.html