Apple a publié hier soir iOS 15.3.1, macOS 12.2.1 et watchOS 8.4.2. Toutes ont en commun la correction d’une faille de sécurité critique dans WebKit (CVE-2022-22620), le moteur de rendu de Safari.
Exploitée, cette faille permet l’exécution de code arbitraire à distance. En outre, il n’est pas nécessaire que l’utilisateur fasse la moindre action : il suffit de l’amener sur une page spécialement conçue pour déclencher le code, soit le pire des scénarios.
Il est recommandé d’installer ces mises à jour aussi rapidement que possible, Apple précisant avoir été mis au courant d’exploitations actives. La situation est d’autant plus dangereuse sur iOS et watchOS, où tout rendu web est forcément réalisé par WebKit.
Dans le cas de macOS, notez que la nouvelle version corrige également un souci avec le Bluetooth. Les connexions actives avaient tendance à vider la batterie des MacBook quand ils étaient en veille.
Commentaires (6)
Il faut donc une action de l’utilisateur s’il doit cliquer sur un lien pour visiter la page.
Un vrai zéro-clic n’a besoin d’aucune action de l’utilisateur (par exemple un texto qui active le piège à sa réception).
D’après le lien donné dans l’article, la faille part d’une erreur dans le parsing du HTML. Donc si on a un client mail qui (1) est configuré pour afficher le HTML et (2) utilise Webkit pour ça, on peut être contaminé simplement en affichant un mail.
Donc formellement, c’est pas totalement zéro-clic, mais c’est exploitable via une utilisation normale de l’ordinateur (lire des mails), donc ça s’en rapproche pas mal…
Ou sinon un pirate peut compromettre un site web, contaminant tous les visiteurs du site en question. Vu le nombre de plugins WordPress vulnérables dernièrement…
Ca ne concerne que safari 15 donc pas les vieux macos?
Je ne dis pas que la faille n’est pas grave ; je dis que ce n’est pas du zéro-clic.
Mais t’as fini de chipoter et d’enculer les octets ? On va dire un 0,5-click. Ça te va ?
On parle là de failles hyper-critiques, et toi du fais la chochotte sur les mots.
Mais quel pays !