Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Après iOS, Apple corrige des failles critiques sur OS X et Safari

À qui le tour ?

Après iOS, Apple corrige des failles critiques sur OS X et Safari

Le 02 septembre 2016 à 06h30

Apple vient de publier des mises à jour de sécurité pour OS X et Safari. Dans les deux cas, il s'agit de combler des failles 0-day qui ont déjà été bouchées sur iOS avec la mise à jour 9.3.5.

La semaine dernière, Apple corrigeait un trio (baptisé Trident) de failles 0-day exploitées depuis trois ans, via iOS 9.3.5. Les terminaux mobiles ne sont pas les seuls concernés, car OS X ainsi que Safari sont également touchés. Des patchs sont désormais disponibles.

Des vulnérabilités dans le système et Safari

Pour les ordinateurs, la faille est identifiée sous les références CVE-2016-4655 (fuite d'informations dans le noyau) et CVE-2016-4656 (possibilité d'exécuter du code arbitraire). Il s'agit de deux des trois bulletins en lien avec iOS 9.3.5. Les mises à jour correctives concernent OS X Yosemite (10.10.5) ainsi qu’OS X El Capitan (10.11.6). Comme toujours, les mises à jour sont disponibles dans le Mac App Store.

De son côté, Safari passe en version 9.1.3 afin de boucher la faille CVE-2016-4654, qui a exactement les mêmes impact et description que le bulletin CVE-2016-4657 d'iOS 9.3.5. Notez que les deux mises à jour d'OS X intègrent directement celle de Safari.

Citizen Lab et Lookout à l'origine des découvertes

Cette fois encore, Apple indique que Citizen Lab et Lookout sont à l'origine de cette découverte, suite à une remontée d'information de la part d’Ahmed Mansoor (voir cette actualité pour tous les détails). Citizen Lab a d'ailleurs mis à jour son billet de blog afin d'indiquer que « les vulnérabilités Trident utilisées par le groupe NSO auraient pu être utilisées comme une arme contre les utilisateurs d'appareils qui ne fonctionne pas sous iOS, ce qui comprend OS X ». Une formulation qui laisse penser que d'autres systèmes pourraient être touchés.

Il est, quoi qu'il en soit, recommandé aux utilisateurs d'installer les mises à jour dès que possible. Citizen Lab explique qu'il ne publiera pour le moment pas de prototype permettant de reproduire cette attaque afin de protéger les investigations qui sont en cours.

Commentaires (3)

votre avatar

Une formulation qui laisse penser que d’autres systèmes pourraient être touchés.



Android ? Si c’est le cas, ma Nexus 7-2012 n’est pas près d’être corrigée, alors que mon iPhone et mon hackintosh le sont. Merci d’avance à Google <img data-src=" /> .

votre avatar

Je croyais qu’on disait désormais macOS et non plus OS X.

votre avatar







sephirostoy a écrit :



Je croyais qu’on disait désormais macOS et non plus OS X.





Seulement à partir de Sierra, qui n’est pas encore sorti <img data-src=" />

El Capitan est toujours nommé “OS X” sur le site d’Apple.


Après iOS, Apple corrige des failles critiques sur OS X et Safari

  • Des vulnérabilités dans le système et Safari

  • Citizen Lab et Lookout à l'origine des découvertes

Fermer