Les navigateurs Web modernes sont compliqués, ce qui les expose à davantage de problèmes de sécurité potentiels. Apple a maintenant publié des mises à jour pour corriger une faille dans Safari qui permettait aux pages Web d’exécuter du code sur l’appareil.
Apple vient de publier des mises à jour système pour iPhone, iPad et Mac, qui incluent toutes un correctif pour une faille dans le moteur Webkit de Safari. Les mises à jour ont respectivement les numéros de version d’iOS 16.4.1, d’iPadOS 16.4.1 et de macOS Ventura 13.3.1. Apple n’a pas divulgué de détails sur la vulnérabilité de sécurité, si ce n’est qu’elle permet au « contenu Web conçu de manière malveillante » d’exécuter du code arbitraire sur l’appareil comme si une application native était en cours d’exécution.
Malheureusement, il s’agit également d’une vulnérabilité zero-day – Apple dit être « au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité ». Pour les ordinateurs Mac non mis à jour vers Ventura, Safari 16.4.1 est déployé sur macOS Big Sur et Monterey avec le même correctif.
Les mises à jour pour macOS Ventura, iOS 16 et iPadOS 16 incluent également un correctif pour une autre vulnérabilité de sécurité dans IOSurfaceAccelerator, un framework système. Cette faille permet l’exécution de code arbitraire avec les mêmes offres que le code du noyau. Apple dit que cette faille peut également être déjà utilisée dans la nature.
Vous pouvez télécharger les nouvelles mises à jour du système d’exploitation à partir de l’application Paramètres sur votre iPhone, iPad ou Mac. Peut-être qu’un de ces jours, Apple découvrira comment mettre à jour Safari sans une mise à niveau complète du système d’exploitation.
Source : Apple (iOS/iPadOS, macOS, Safari)