Apple a publié le 13 février 2023 les mises à jour iOS 16.3.1 pour les iPhone, iPadOS 16.3.1 sur iPad et watchOS 9.3.1 pour les Apple Watch. Si l’OS pour les smartphones de la compagnie n’apporte rien de très innovant en termes de fonctionnalités, il corrige quelques méchants bugs, dont l’un expose une faille critique.

iOS 16.3.1 corrige un bug de confusion de type de Webkit qui permettrait à un hacker d’exécuter des commandes à distance sur les iPhone et iPad affectés. Apple affirme que la faille CVE-2023-23514 est activement exploitée par les cybercriminels d'où l’importance de mettre vos systèmes à jour si vous ne l’avez pas encore fait.

Cette dernière est d’autant plus importante lorsque l’on sait que Webkit est le moteur de rendu de page utilisé par des applications telles que Safari, l’App Store ou encore Mail. Comme Apple impose toujours à Google et Mozilla d’utiliser WebKit comme moteur de rendu, tous les utilisateurs d’iPhone et d’iPad courent le risque de se faire hacker.

À lire — Apple TV 4K : pour en profiter pleinement, il faut obligatoirement un iPhone sous iOS 16

iOS 16.3.1 corrige une faille de WebKit qui permet aux hackers de prendre le contrôle à distance de votre iPhone

Le risque est d’autant plus grand que les pirates pourraient prendre le contrôle de votre appareil en profitant d’une autre vulnérabilité du kernel qui permet aux applications d’exécuter des commandes avec tous les privilèges. Autant dire que le fonctionnement général de votre smartphone peut être affecté par cette faille. Apple affirme avoir éliminé ce problème en améliorant la gestion de la mémoire de l’OS. Par ailleurs, iOS 16.3.1 élimine un bug qui empêchait de changer les paramètres d’iCloud, rendant ce service indispensable dans certaines situations, totalement inutilisable. Certains utilisateurs se plaignaient également de ne pas pouvoir ouvrir l’application Localiser sur l’écran de leur appareil à travers Siri. Ce problème est désormais réglé.

La faille CVE-2023-23514 est la première faille zéro-day d’iOS en 2023. Comme le précise Apple sur son support officiel, cette vulnérabilité concerne tous les iPhone sortis depuis 2017, soit depuis l'iPhone 8 et 8 Plus. Voici la liste complète des appareils visés :

• iPhone 8
• iPhone 8 Plus
• iPhone XR
• iPhone XS
• iPhone 11
• iPhone 11 Pro
• iPhone 11 Pro Max
• iPhone SE (2e génération)
• iPhone 12
• iPhone 12 mini
• iPhone 12 Pro
• iPhone 12 Pro Max
• iPhone 13
• iPhone 13 Pro
• iPhone 13 Pro Max
• iPhone SE (3e génération)
• iPhone 14
• iPhone 14 Plus
• iPhone 14 Pro
• iPhone 14 Pro Max

Concernant les iPad, tous les iPad Pro, les iPad Air de 3e génération et plus récents, les iPad de 5e génération et plus récents, et les iPad mini de 5e génération et plus récents, sont aussi concernés. Sur les dix exploits que la compagnie a dû traiter en 2022, quatre concernaient directement WebKit. La mise à jour de vos appareils Apple sous iOS 16.3.1, iPadOS 16.3.1, mais aussi macOS Ventura 13.2.1 est donc plus que recommandée.

Source: Hacker News