Apple vient de déployer une importante mise à jour de sécurité pour iOS et iPadOS, qui passent en version 16.6.1. Elle colmate deux brèches critiques, la première dans ImageIO (CVE-2023-41064), l’autre dans Wallet (CVE-2023-41061).
À chaque fois, la faille peut être exploitée par simple lecture d’un contenu spécialement conçu. Dans le cas d’ImageIO, une simple image. On comprend donc toute la dangerosité de la vulnérabilité, nécessitant la publication d’une révision mineure.
La faille dans ImageIO se retrouve également dans macOS, qui vient de recevoir une mise à jour 13.5.2 pour Ventura. Celle dans Wallet est aussi présente dans watchOS, dont la mouture 9.6.2 est disponible.
Le Citizen Lab de l’Université de Toronto (qui a participé à la découverte des failles) a publié un billet de blog. On y apprend notamment que le Lockdown Mode (ou mode Isolement) permet de bloquer cette attaque (ce que confirme Apple auprès de Citizen Lab), mais aussi que la faille est « activement exploitée pour diffuser le logiciel espion Pegasus de NSO Group ».
- Le mode Isolement d'iOS 16 réduit la surface d'attaque face aux spywares « mercenaires »
- 23 personnes, dont 7 ministres en exercice, identifiées comme « victimes » de Pegasus
Il est chaudement recommandé aux personnes concernées de mettre à jour leurs appareils aussi rapidement que possible.
Commentaires (7)
#1
Comme ce n’est pas précisé dans la brève, la version de la release sur iOS iPadOS est : 16.6.1
#2
Une idée de quels modèles non supportés par ces mises à jours sont concernés par la faille ? Il y a encore quelques vieux téléphones qui trainent dans mon entourage. On a une idée de quand cette vulnérabilité à été introduite ?
#3
Les modèles supportés :
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
L’iPhone 7, premier modèle non supporté, a été lancé en septembre 2016 et sa commercialisation a été arrêtée en septembre 2019. Mais je ne sais pas s’il est concerné par la faille.
Édit : en creusant un peu, je vois qu’il y a eu des mises à jour de iOS 15 (iPhone 6S et iPhone 7) en juillet 2023, donc je pense qu’iOS 15 n’est pas concerné (sinon il y aurait aussi eu une mise à jour).
#4
Merci pour l’info, c’est pas toujours clair si un “vieux” modèle ne reçoit pas le fix parce que pas concerné ou parce qu’il a été décidé de l’abandonner à son sort
#5
#6
LOL
titre trompeur : « dans tous ses systèmes d’exploitation »
bah j’ai pris mes iphones 3G à iphone 7, tous d’ios 5 à ios 15, jpeux vous assurer que j’ai vu aucune maj (et je m’en sers tous les jours en 3G…), un peu étonnant quand meme…
(oui, dix ans de durée de vie pour un tel, c’est quelque chose d’exigé quand on a vu l’obsolescence programmée des imprimantes)
vous perdez en crédibilité, tout le monde ne veut pas un tel de moins de trois ans, encore heureux
#7
C’était bien la peine de se scandaliser que les plusse vieux appareils n’avaient pas reçu de mise à jour, fallait juste attendre quelques jours, puisque le 11 septembre y’a eu une salve de patchs pour le matos un peu plusse ancien :
iOS 15.7.9 and iPadOS 15.7.9
macOS Big Sur 11.7.10
macOS Monterey 12.6.9
Pour mettre à jour un Mac non supporté par Big Sur ou Monterey, vous pouvez utiliser OpenCore Legacy Patcher