Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Salve de correctifs chez Apple pour une faille critique dans WebKit

Salve de correctifs chez Apple pour une faille critique dans WebKit

Le 11 février 2022 à 08h20

Apple a publié hier soir iOS 15.3.1, macOS 12.2.1 et watchOS 8.4.2. Toutes ont en commun la correction d’une faille de sécurité critique dans WebKit (CVE-2022-22620), le moteur de rendu de Safari.

Exploitée, cette faille permet l’exécution de code arbitraire à distance. En outre, il n’est pas nécessaire que l’utilisateur fasse la moindre action : il suffit de l’amener sur une page spécialement conçue pour déclencher le code, soit le pire des scénarios.

Il est recommandé d’installer ces mises à jour aussi rapidement que possible, Apple précisant avoir été mis au courant d’exploitations actives. La situation est d’autant plus dangereuse sur iOS et watchOS, où tout rendu web est forcément réalisé par WebKit.

Dans le cas de macOS, notez que la nouvelle version corrige également un souci avec le Bluetooth. Les connexions actives avaient tendance à vider la batterie des MacBook quand ils étaient en veille.

Le 11 février 2022 à 08h20

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il faut donc une action de l’utilisateur s’il doit cliquer sur un lien pour visiter la page.
Un vrai zéro-clic n’a besoin d’aucune action de l’utilisateur (par exemple un texto qui active le piège à sa réception).

votre avatar

D’après le lien donné dans l’article, la faille part d’une erreur dans le parsing du HTML. Donc si on a un client mail qui (1) est configuré pour afficher le HTML et (2) utilise Webkit pour ça, on peut être contaminé simplement en affichant un mail.



Donc formellement, c’est pas totalement zéro-clic, mais c’est exploitable via une utilisation normale de l’ordinateur (lire des mails), donc ça s’en rapproche pas mal…

votre avatar

Ou sinon un pirate peut compromettre un site web, contaminant tous les visiteurs du site en question. Vu le nombre de plugins WordPress vulnérables dernièrement…

votre avatar

Ca ne concerne que safari 15 donc pas les vieux macos?

votre avatar

Freeben666 a dit:


Ou sinon un pirate peut compromettre un site web, contaminant tous les visiteurs du site en question. Vu le nombre de plugins WordPress vulnérables dernièrement…


Je ne dis pas que la faille n’est pas grave ; je dis que ce n’est pas du zéro-clic.

votre avatar

Mais t’as fini de chipoter et d’enculer les octets ? On va dire un 0,5-click. Ça te va ?
On parle là de failles hyper-critiques, et toi du fais la chochotte sur les mots.
Mais quel pays !

Salve de correctifs chez Apple pour une faille critique dans WebKit

Fermer