Si vous utilisez un iPhone, vous souhaiterez installer la dernière mise à jour logicielle dès que possible, car votre appareil pourrait être vulnérable aux attaques.
Apple a déployé iOS 16.4.1 sur tous les combinés compatibles, y compris l’iPhone 8 et les modèles plus récents.
La mise à jour corrige deux vulnérabilités apparues dans le logiciel précédent, iOS 16.4, qui a été publié à la fin du mois dernier.
Celles-ci étaient également apparentes dans les anciennes versions des logiciels Mac et iPad, c’est pourquoi Apple a publié les mises à jour macOS Ventura 13.3.1 et iPadOS 16.4.1.
Les deux failles de sécurité auraient pu permettre aux pirates d’infiltrer l’appareil et « d’exécuter du code arbitraire », selon Apple.
Cela signifie qu’ils pourraient exécuter n’importe quel code qu’ils voulaient sur un appareil ciblé à l’insu du propriétaire.
Ce code pourrait leur donner accès à des données privées, leur permettre de contrôler les fonctionnalités de l’appareil et leur permettre d’installer des logiciels malveillants.
Cela pourrait même leur permettre de prendre le contrôle d’autres appareils connectés au réseau, ou à Internet, auxquels l’original était connecté.
Les vulnérabilités, appelées CVE-2023-28206 et CVE-2023-28205, sont ce que l’on appelle des failles « zero-day », ce qui signifie qu’elles étaient inconnues d’Apple lorsque le logiciel a été déployé.
Cela signifie également que les appareils exécutant ce logiciel étaient vulnérables aux attaques, car le géant de la technologie n’avait pas publié de correctif ou de mise à jour de sécurité pour le réparer.
Apple a déclaré qu’il était conscient que CVE-2023-28206 et CVE-2023-28205 « pourraient avoir été activement exploités » avant la sortie d’iOS 16.4.1, macOS Ventura 13.3.1 et iPadOS 16.4.1.
CVE-2023-28206 était un « problème d’écriture hors limites » dans IOSurfaceAccelerator, une partie du logiciel qui gère les données de pixels.
Cela signifie qu’une partie de la mémoire stockait trop de données et a donc commencé à les stocker au mauvais endroit, ce qui peut causer des problèmes.
CVE-2023-28205 était une « utilisation après un problème gratuit » dans le moteur de navigateur Web WebKit.
Cela signifie qu’un programme essaie d’utiliser ou d’accéder à quelque chose qu’il a une fois stocké en mémoire, mais qui a déjà été libéré.
Les failles ont été découvertes par Clément Lecigne du Threat Analysis Group de Google et Donncha Ó Cearbhaill du Security Lab d’Amnesty International.
Selon BleepingComputer, ces groupes de recherche sont généralement utilisés par Apple pour rechercher des acteurs de la menace parrainés par le gouvernement.
Par conséquent, ceux-ci n’étaient susceptibles d’être exploités que dans le cas d' »attaques hautement ciblées » contre des politiciens, des journalistes et des individus à haut risque.
Ces deux problèmes sont résolus avec la mise à jour iOS 16.4.1, ainsi que les bogues qui empêchaient Siri de répondre aux commandes et empêchaient les options de variation du teint de la peau pour les emoji des mains poussantes.
La dernière mise à jour logicielle, iOS 16.4, comportait une gamme de nouvelles fonctionnalités, notamment l’ajout de 21 nouveaux emoji au clavier.
Cela inclut l’icône très attendue du cœur rose, ainsi qu’un visage tremblant (« Je suis secoué »), un orignal, une tige de gingembre, le symbole Wi-Fi et une paire de maracas.
Les mises à jour logicielles Apple ne sont pas toujours simples, ce qui explique pourquoi certains hésitent à les lancer lorsqu’elles sont proposées.
Certains de ceux qui ont mis à jour vers iOS 16.4 se sont plaints qu’un bogue système épuise rapidement la durée de vie de la batterie de leur appareil.
La semaine dernière, les utilisateurs d’iPhone du monde entier n’ont pas pu accéder aux prévisions en direct sur l’application Apple Weather, que certains ont également liées à leur nouveau système d’exploitation.
Source: www.dailymail.co.uk