Apple propose une nouvelle mise à jour iOS 14.8.1, en plus de cinq autres mises à jour (iOS 15.1, iPadOS 15.1, watchOS 8.1, tvOS 15.1 et macOS Monterrey). Depuis la sortie de iOS 15, un grand nombre d’utilisateurs a migré vers la nouvelle version majeure du système d’exploitation – qui prend en charge tous les iPhone jusqu’à l’iPhone 6S lancé il y a six ans.
Reste que les iPhone plus anciens en circulation sont encore très nombreux. Et qu’une petite partie des utilisateurs préfèrent rester sur iOS 14. Pour ces derniers, Apple a annoncé à la mi-juin que les utilisateurs pourront rester encore quelques temps s’ils le souhaitent sous iOS 14 – tout en bénéficiant quand même de mises à jour de sécurité :
“iOS propose désormais un choix entre deux versions de mises à jour logicielles dans l’application Réglages. Vous pouvez désormais mettre à jour votre iPhone vers iOS 15 dès que cette version sera disponible pour profiter des dernières fonctionnalités et de l’ensemble le plus complet de mises à jour de sécurité. Ou vous pouvez rester sur iOS 14. Vous continuerez de bénéficier des mises à jour de sécurité importantes jusqu’à ce que vous soyez prêt à passer sur la prochaine version majeure”, a expliqué Apple il y a quelques mois.
Apple pousse une mise à jour de sécurité indispensable pour les iPhone sous iOS 14
Apple avait déjà lancé une mise à jour iOS 14.8 juste après la sortie de iOS 15 pour ceux qui ne souhaitaient pas passer sur la nouvelle interface. La mise à jour iOS 14.8.1 est donc la seconde mise à jour depuis la sortie de iOS 15. Elle n’a pas fait l’objet d’une phase de bêta. Dans les notes de version, on peut lire que la mise à jour “fournit d’importantes mises à jour de sécurité et est recommandée pour tous les utilisateurs”. Une variante iPadOS 14.8.1 est également disponible.
Un peu plus tard, Apple a néanmoins décidé de détailler le contenu de la mise à jour. Et le moins que l’on puisse dire, c’est qu’il y a matière à s’inquiéter si vous n’avez pas encore l’update. Dans la liste on peut voir que Kunlun Lab, l’un des vainqueurs de la récente Tianfu Cup sont à l’origine de la découverte de certaines de ces failles. Les chercheurs ont remporté un prix récemment en démontrant qu’il était possible de pirater un iPhone 13 en à peine 15 secondes.
Les failles rapportées par Kunlun Lab résident dans le module qui gère le son – la faille permettait une élévation des privilèges via un dépassement de mémoire tampon. Deux d’entre elles (CVE-2021-30909 et CVE-2021-30916) touchent le kernel – et permettent d’exécuter du code arbitraire avec les privilèges système. Apple corrige également une faille qui permettait de contourner l’écran de verrouillage, comme dans la vidéo suivante :
On trouve aussi une faille de WebKit qui permettait de faire fuiter des données personnelles et bancaires via des redirections. D’autres failles comme celle qui réside dans IOMobileFrameBuffer – exécution de code arbitraire – ont de l’aveu même d’Apple été activement exploitées dans la nature. Le Google Project Zero a également permis à Apple de corriger d’autres failles résultant sur l’exécution de code arbitraire, dont une qui résidait dans les profils couleurs ICC / ColorSync.
De nombreux autres signalements sont le fait de chercheurs indépendants souvent anonymes. Il n’empêche. On a rarement vu une liste de correctifs iOS aussi fournie censée adresser des failles qui permettaient de prendre le contrôle des iPhone et aspirer leurs données personnelles. Il est donc fortement recommandé d’effectuer cette mise à jour au plus vite pour renforcer la sécurité de votre smartphone et protéger vos données personnelles et bancaires.
Lire aussi – Apple est en train de déployer une mise à jour pour… iOS 12
Voici la liste complète des correctifs :
- Audio : une application malicieuse pouvait causer une élévation de privilèges
- ColorSync : le traitement d’une image malicieuse pouvait conduire à l’exécution de code arbitraire
- Continuity Camera : un attaquant local était susceptible de causer le crash d’une application ou exécuter du code arbitraire
- CoreGraphics : le traitement d’un PDF malicieux pouvait conduire à l’exécution de code arbitraire
- GPU Drivers : une application malicieuse était susceptible d’exécuter du code arbitraire avec les privilèges système (noyau)
- IOMobileFrameBuffer : une application était susceptible d’exécuter du code arbitraire avec les privilèges système (noyau)
- Kernel (CVE-2021-30909 et 30916) : une application était susceptible d’exécuter du code arbitraire avec les privilèges système (noyau)
- Sidecar : un attaquant local était susceptible de causer le crash d’une application ou exécuter du code arbitraire
- Status Bar : un utilisateur était susceptible de consulter du contenu restreint depuis l’écran de verrouillage
- Voice Control : un attaquant local était susceptible de causer le crash d’une application ou exécuter du code arbitraire
- WebKit : un site malicieux utilisant les rapports Content Security Policy était susceptible d’exfiltrer des données via des comportements de redirection
Votre iPhone est encore sur iOS 14 ? Partagez votre retour dans les commentaires !
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
