Hier (24 mai), Apple a officiellement déployé iOS 14.6 et macOS Big Sur 11.4 à ses utilisateurs dans une mise à jour de grande envergure qui couvre la nouvelle prise en charge de la famille Apple Card, des mises à jour des AirTags et des correctifs majeurs pour un nombre ahurissant de problèmes de sécurité – plusieurs d’entre eux vacillent du côté «très sérieux» des choses.

iOS 14.5 est arrivé le mois dernier avec un un grand nombre de fonctionnalités de haut niveau, qui visait à changer la façon dont nous utilisons nos téléphones. Avec iOS 14.6, vous seriez rapidement pardonné de perdre la trace des mises à jour d’Apple, qui semblent infinies pour le moment. Cela dit, vous voudrez certainement mettre votre smartphone à jour vers iOS 14.6 compte tenu des problèmes de sécurité que nous avons rassemblés ci-dessous.

Le vrai détail d’iOS 14.6 réside dans sa pléthore de correctifs de sécurité qui répondent à un certain nombre de vulnérabilités importantes. Ceux-ci vont des fichiers audio malveillants qui peuvent être exploités par de mauvais acteurs pour révéler des informations personnelles sensibles aux faiblesses flagrantes des services de base d’iOS qui fournissent un point d’entrée pour les logiciels malveillants.

Voici tout ce que vous devez savoir sur cette dernière série de menaces de sécurité pour les appareils macOS et iOS, et pourquoi vous devez mettre à jour votre iPhone, iPad et Mac aussi rapidement que possible.

Comment mettre à jour vers iOS 14.6 maintenant

Pour mettre à jour le logiciel de votre iPhone vers iOS 14.6, accédez à Paramètres et sélectionnez Général. Ensuite, appuyez sur Mise à jour du logiciel. À partir de là, vous devriez pouvoir mettre à jour vers iOS 14.6. Le téléchargement est d’environ 577 Mo, donc cela ne devrait pas prendre autant de temps en Wi-Fi.

Correctifs de sécurité macOS Big Sur 11.4

Apple compte 38 défauts différents corrigés dans iOS 14.6 et iPadOS 14.6, certains défauts en ayant plus d’un Vulnérabilités et expositions courantes (CVE) numéro de référence.

Certains des mêmes défauts sont corrigé dans macOS Big Sur 11.4, qui voit 58 failles corrigées par le décompte d’Apple. (MacOS 10.15 Catalina et 10.14 Mojave obtenu des correctifs.)

Le principal problème de sécurité auquel macOS est confronté est une méchante souche de logiciels malveillants qui prend secrètement des captures d’écran des Mac des utilisateurs, ce qui rend encore plus urgent la mise à jour de votre système.

Durant recherche sur le malware XCSSET, initialement découvert en août 2020, la société de cybersécurité Jamf a découvert qu’un macOS exploit zero-day (CVE-2021-30713) a été utilisé par XCSSET pour contourner les protections de contrôle et de consentement en matière de transparence d’Apple.

En abrégé TCC, cette fonction sonne l’alarme virtuelle lorsqu’une application se comporte d’une manière qui pourrait menacer la vie privée des utilisateurs, comme, par exemple, prendre des photos ou enregistrer des frappes au clavier. En contournant cette protection, le malware XCSSET est capable de contourner les garanties de confidentialité des utilisateurs.

« L’exploit en question pourrait permettre à un attaquant d’obtenir un accès complet au disque, un enregistrement d’écran ou d’autres autorisations sans nécessiter le consentement explicite de l’utilisateur », selon les chercheurs de Jamf.

C’est une vulnérabilité très grave, notamment parce qu’elle pourrait être exploitée pour obtenir un accès non autorisé aux fichiers des utilisateurs, mais parce qu’elle peut enregistrer de la vidéo et de l’audio directement à partir des ordinateurs des victimes tout en détournant les autorisations d’autres applications.

La faiblesse aurait été corrigée dans la dernière version de macOS Big Sur 11.4, qui a été publiée lundi 24 mai. Vous pouvez saisir le dernière mise à jour de macOS Big Sur depuis le Mac App Store.

iOS 14.6: mises à jour WebKit

De nouveau sous les feux de la rampe, notre vieil ami, WebKit. WebKit est le moteur du navigateur Safari d’Apple et n’est pas étranger à la mauvaise presse, ayant déjà été sérieusement examiné pour vulnérabilités de sécurité plus tôt cette année.

Les vulnérabilités reposent sur des attaques de scripts intersites contre les utilisateurs d’iPhone. Ici, les pirates peuvent voler vos cookies Internet et vos sessions dans Safari, leur donnant ainsi une chance de détourner un compte complet. Les chasseurs de bogues ont identifié sept vulnérabilités dans le moteur du navigateur, « dont deux qui permettraient l’exécution de code arbitraire », selon Le registre.

Les iPhones et iPad pourraient être compromis par ces pages Web malveillantes pour pincer des détails et des informations sensibles. Apple répertorie six correctifs vers WebKit sous iOS 14.6 pour empêcher ces attaques, ainsi que pour arrêter le «contenu Web conçu de manière malveillante» pour la création de scripts intersites universels.

Pommes watchOS et tvOS a également reçu des mises à jour de sécurité pour résoudre bon nombre des mêmes problèmes.

Trop peu, trop tard?

Apple affirme avoir connaissance d’informations selon lesquelles trois vulnérabilités zero-day macOS et tvOS (CVE 2021-30663, 30665 et 30713) « pourraient avoir été activement exploitées ». En d’autres termes, ce sont des failles « zero-day » en ce sens qu’elles sont exploitées par des attaquants avant que les défenseurs ne soient en mesure de fournir un correctif.

Cependant, Apple s’est arrêté avant d’ajouter des informations supplémentaires sur les personnes susceptibles d’avoir exploité ces failles de sécurité avant le déploiement des correctifs. Aucune de ces trois failles ne semble apparaître sous iOS, iPadOS, watchOS ou sous macOS Catalina ou Mojave.

La déclaration opérationnelle dans tout cela est de mettre à jour votre iPhone, iPad, Mac, Apple Watch et Apple TV dès maintenant. Nous avons un ensemble robuste d’instructions de mise à jour dans notre comment mettre à niveau vers iOS 14.6 guide si vous vous trouvez coincé.

Suite: Le meilleur antivirus Mac Logiciel