iOS 14.5.1 : mettez vite votre iPhone à jour, une faille 0-day est activement exploitée !
Apple lance en urgence un patch de sécurité iOS 14.5.1 sur iPhone pour corriger une faille de sécurité activement exploitée dans WebKit. Celle-ci permet d'exécuter du code arbitraire sur les smartphones, avec potentiellement des conséquences désastreuses. D'autres produits comme les macs et les Apple Watch bénéficient également d'un patch car ces plateformes utilisent également WebKit.
Quelques jours à peine après le déploiement de iOS 14.5, Apple pousse en urgence une nouvelle mise à jour iOS / iPadOS 14.5.1. Deux failles de sécurité très graves ont en effet été découvertes dans le moteur de rendu web WebKit. C'est ce composant système qui rend les pages web quel que soit le navigateur internet sur iPhone et iPad. La première faille de sécurité est de type corruption de mémoire.
Apple explique : “le traitement de certains contenus web conçus malicieusement est susceptible de déboucher sur de l'exécution de code arbitraire”. Et la firme d'ajouter : “Il est porté à la connaissance d'Apple que ce problème est susceptible d'être activement exploité”. La seconde faille de WebKit est de type dépassement d'entier.
iOS 14.5.1 corrige deux grosses failles de sécurité autour de WebKit
Autrement dit elle rend possible le fait d'abuser certains registres et d'insérer du code dans des parties de la mémoire vive normalement interdites d'accès pour un processus donné. Là encore Apple souligne que cette faille de sécurité est susceptible d'être activement exploitée dans la nature.
Pour installer cette mise à jour sur votre iPhone ou iPad c'est très simple : si l'iPhone ne vous l'a pas déjà proposé, rendez-vous dans les Réglages > Général > Mises à jour. Ces failles autour de WebKit ne touchent pas que les iPhone et les iPad. Une rapide visite sur la page d'Apple dédiée aux mises à jour permet de se rendre compte que le problème touche également les Apple Watch ainsi que les macs.
C'est pourquoi des mises à jour dédiées sont également disponibles sur ces plateformes. Le problème semble néanmoins moins grave sur Mac, car WebKit y est principalement utilisé dans Safari, Mail, l'App Store et une poignée d'applications officielles. Si vous n'utilisez pas Safari et Mail vous vous exposeriez en effet à peu de risques car les autres applications utilisant WebKit chargent uniquement des contenus depuis les serveurs Apple officiels.
Lire également : iOS 14.5 – voici tout ce qu'il faut savoir sur l'anti-pistage publicitaire
L'Apple Watch est quant à elle plutôt limitée pour l'affichage web. Reste qu'il est vivement conseillé de faire la mise à jour y compris sur ces plateformes. Avec le temps l'exploitation de ces failles pourrait devenir plus triviale avec tous les risques que cela suppose pour la sécurité.
