Abonnez-vous Connexion

Abonnez-vous

Nous suivre

À propos

Next, média indépendant, est soutenu par la société moji.

Elle lui assure une pérennité économique et lui permet de maintenir sa totale liberté éditoriale, d'expérimenter de nouvelles formes d'information et de garantir sa survie à long terme, sans dépendre d'annonceurs externes.

Salve de correctifs chez Apple pour une faille critique dans WebKit

Par Sébastien Gavois

Le 11 Février 2022 à 08h20

1 min 6

Apple a publié hier soir iOS 15.3.1, macOS 12.2.1 et watchOS 8.4.2. Toutes ont en commun la correction d’une faille de sécurité critique dans WebKit (CVE-2022-22620), le moteur de rendu de Safari.

Exploitée, cette faille permet l’exécution de code arbitraire à distance. En outre, il n’est pas nécessaire que l’utilisateur fasse la moindre action : il suffit de l’amener sur une page spécialement conçue pour déclencher le code, soit le pire des scénarios.

Il est recommandé d’installer ces mises à jour aussi rapidement que possible, Apple précisant avoir été mis au courant d’exploitations actives. La situation est d’autant plus dangereuse sur iOS et watchOS, où tout rendu web est forcément réalisé par WebKit.

Dans le cas de macOS, notez que la nouvelle version corrige également un souci avec le Bluetooth. Les connexions actives avaient tendance à vider la batterie des MacBook quand ils étaient en veille.

Granite : IBM lance son pavé dans la mare des modèles de langage pour la génération de code

Stack Overflow signe avec OpenAI

La RATP expérimente sa vidéosurveillance algorithmique pour les concerts de Taylor Swift

FurMark débarque en version 2.3, avec la prise en charge des Raspberry Pi

Boeing Starliner n’a finalement toujours pas décollé…

Chang’e 6 fait route vers la Lune, avec l’instrument français DORN

Pass Monitor : Proton Pass comble (enfin) certaines lacunes

Dirty Stream : quand une application Android peut écraser les fichiers d’une autre

Raspberry Pi Compute Module 4S : jusqu’à 8 Go de mémoire, production jusqu’en 2034

Calendrier de publication d’Ubuntu 24.10 (Oracular Oriole)

Commentaires (6)

flan_ Abonné

Le 11/02/2022 à 08h23

Il faut donc une action de l’utilisateur s’il doit cliquer sur un lien pour visiter la page.
Un vrai zéro-clic n’a besoin d’aucune action de l’utilisateur (par exemple un texto qui active le piège à sa réception).

chichillus Abonné

Le 11/02/2022 à 09h11

#1.1

D’après le lien donné dans l’article, la faille part d’une erreur dans le parsing du HTML. Donc si on a un client mail qui (1) est configuré pour afficher le HTML et (2) utilise Webkit pour ça, on peut être contaminé simplement en affichant un mail.

Donc formellement, c’est pas totalement zéro-clic, mais c’est exploitable via une utilisation normale de l’ordinateur (lire des mails), donc ça s’en rapproche pas mal…

Freeben666 Abonné

Le 11/02/2022 à 10h49

#1.2

Ou sinon un pirate peut compromettre un site web, contaminant tous les visiteurs du site en question. Vu le nombre de plugins WordPress vulnérables dernièrement…

tuxicoman

Le 11/02/2022 à 11h50

Ca ne concerne que safari 15 donc pas les vieux macos?

flan_ Abonné

Le 11/02/2022 à 17h51

Freeben666 a dit:

Ou sinon un pirate peut compromettre un site web, contaminant tous les visiteurs du site en question. Vu le nombre de plugins WordPress vulnérables dernièrement…

Je ne dis pas que la faille n’est pas grave ; je dis que ce n’est pas du zéro-clic.

ungars

Le 12/02/2022 à 19h58

#3.1

Mais t’as fini de chipoter et d’enculer les octets ? On va dire un 0,5-click. Ça te va ?
On parle là de failles hyper-critiques, et toi du fais la chochotte sur les mots.
Mais quel pays !

Fermer

❮

❯