Utilisateurs d’Apple, si vous êtes du genre à reporter l’installation de vos mises à jour au lendemain, vous auriez peut-être intérêt à agir rapidement. C’est qu’Apple vient d’apporter plusieurs correctifs éliminant des vulnérabilités affectant les systèmes d’exploitation iOS 9 et OS X, mais aussi les versions Windows d’iTunes et d’iCloud. Safari, l’Apple Watch et l’Apple TV ne sont pas non plus en reste.
À notre connaissance, il s’agit du plus important déploiement de mises à jour de sécurité jamais effectué par Apple.
D’abord, la faille dont tout le monde parle, qui cible les appels FaceTime relayés entre iOS 9 et OS X El Capitan. Selon Apple, un attaquant connecté au même réseau Wi-Fi que vos appareils iOS et votre Mac est en mesure de garder en vie un appel relayé depuis votre iPhone afin de continuer à recevoir le signal audio même si l’appel est affiché comme étant terminé.
Cette vulnérabilité, identifiée par le code CVE-2016-4635, a été découverte par le chercheur en sécurité Martin Vigo.
Bien entendu, si vous n’êtes pas du genre à utiliser cette fonction lorsque vos appareils sont connectés à un réseau public, les chances que vous ayez pu être ciblé par un pirate sont quasi nulles. N’empêche, il est évidemment préférable de colmater cette brèche au plus vite.
Les autres failles, tout aussi critiques, peuvent également avoir des conséquences inquiétantes. En outre, certaines permettent à un attaquant d’exécuter à distance du code arbitraire sur votre machine, de gagner l’accès à des privilèges réservés à l’administrateur ou à la racine, et même d’accéder directement au noyau du système d’exploitation. D’autres failles sont susceptibles de provoquer des erreurs systèmes vous forçant à redémarrer votre appareil dans le cas où vous exécuter une série de tâches dans un ordre précis.
Vous pouvez consulter l’impressionnante liste de vulnérabilités colmatées par les plus récentes mises à jour d’iOS 9 et d’OS X El Capitan sur le site d’Apple.
Des failles présentes à l’extérieur de l’écosystème d’Apple
Enfin, d’autres mises à jour incluent des correctifs pour six vulnérabilités présentes dans OpenSSL permettant d’exécuter à distance du code arbitraire dans QuickTime, et neuf vulnérabilités similaires affectant le moteur de Safari, WebKit, pouvant aller jusqu’à exploiter vos appareils pour perpétrer des attaques par déni de service.
À noter qu’en ce qui concerne QuickTime pour Windows, le département de la Sécurité intérieure des États-Unis recommandait déjà en avril dernier de désinstaller le logiciel après qu’Apple ait annoncé ne pas avoir l’intention de colmater une autre importante brèche de sécurité.
Soulignons également qu’Apple a déployé des mises à jour de sécurité destinées à iTunes et iCloud pour Windows, et que les utilisateurs de Mac qui ont préféré continué d’utiliser les versions antérieures d’OS X (Mavericks et Yosemite) doivent mettre à jour Safari à la version 9.1.2.
Les propriétaires d’Apple Watch et d’Apple TV sont également invités à mettre à jour leurs systèmes d’exploitation, dont le nombre de failles identifiées s’élève à 26 et 27 respectivement.
