Apple vient de publier des mises à jour de sécurité pour OS X et Safari. Dans les deux cas, il s'agit de combler des failles 0-day qui ont déjà été bouchées sur iOS avec la mise à jour 9.3.5.
La semaine dernière, Apple corrigeait un trio (baptisé Trident) de failles 0-day exploitées depuis trois ans, via iOS 9.3.5. Les terminaux mobiles ne sont pas les seuls concernés, car OS X ainsi que Safari sont également touchés. Des patchs sont désormais disponibles.
Des vulnérabilités dans le système et Safari
Pour les ordinateurs, la faille est identifiée sous les références CVE-2016-4655 (fuite d'informations dans le noyau) et CVE-2016-4656 (possibilité d'exécuter du code arbitraire). Il s'agit de deux des trois bulletins en lien avec iOS 9.3.5. Les mises à jour correctives concernent OS X Yosemite (10.10.5) ainsi qu’OS X El Capitan (10.11.6). Comme toujours, les mises à jour sont disponibles dans le Mac App Store.
De son côté, Safari passe en version 9.1.3 afin de boucher la faille CVE-2016-4654, qui a exactement les mêmes impact et description que le bulletin CVE-2016-4657 d'iOS 9.3.5. Notez que les deux mises à jour d'OS X intègrent directement celle de Safari.
Citizen Lab et Lookout à l'origine des découvertes
Cette fois encore, Apple indique que Citizen Lab et Lookout sont à l'origine de cette découverte, suite à une remontée d'information de la part d’Ahmed Mansoor (voir cette actualité pour tous les détails). Citizen Lab a d'ailleurs mis à jour son billet de blog afin d'indiquer que « les vulnérabilités Trident utilisées par le groupe NSO auraient pu être utilisées comme une arme contre les utilisateurs d'appareils qui ne fonctionne pas sous iOS, ce qui comprend OS X ». Une formulation qui laisse penser que d'autres systèmes pourraient être touchés.
Il est, quoi qu'il en soit, recommandé aux utilisateurs d'installer les mises à jour dès que possible. Citizen Lab explique qu'il ne publiera pour le moment pas de prototype permettant de reproduire cette attaque afin de protéger les investigations qui sont en cours.
Commentaires (3)
#1
Une formulation qui laisse penser que d’autres systèmes pourraient être touchés.
" /> .
Android ? Si c’est le cas, ma Nexus 7-2012 n’est pas près d’être corrigée, alors que mon iPhone et mon hackintosh le sont. Merci d’avance à Google
#2
Je croyais qu’on disait désormais macOS et non plus OS X.
#3