Apple a publié hier soir iOS 15.3.1, macOS 12.2.1 et watchOS 8.4.2. Toutes ont en commun la correction d’une faille de sécurité critique dans WebKit (CVE-2022-22620), le moteur de rendu de Safari.
Exploitée, cette faille permet l’exécution de code arbitraire à distance. En outre, il n’est pas nécessaire que l’utilisateur fasse la moindre action : il suffit de l’amener sur une page spécialement conçue pour déclencher le code, soit le pire des scénarios.
Il est recommandé d’installer ces mises à jour aussi rapidement que possible, Apple précisant avoir été mis au courant d’exploitations actives. La situation est d’autant plus dangereuse sur iOS et watchOS, où tout rendu web est forcément réalisé par WebKit.
Dans le cas de macOS, notez que la nouvelle version corrige également un souci avec le Bluetooth. Les connexions actives avaient tendance à vider la batterie des MacBook quand ils étaient en veille.