Apple a publié une nouvelle série de correctifs de sécurité pour répondre aux vulnérabilités dans Safari, iOS, watchos, et tvOS. Il convient de noter que certaines des vulnérabilités ont été divulgués avant que les mises à jour de sécurité, qui a ouvert une échappatoire pour les acteurs de la menace.
Quels problèmes ont été résolus dans iOS 12?
Avec la sortie d'iOS 12, Apple a porté sur l'amélioration de la stabilité et de la fiabilité. Cependant, la dernière version comprend également plusieurs nouvelles fonctionnalités axées sur la sécurité telles que des améliorations de suivi intelligents, ad surpressed ciblage, et il introduit également la suggestion automatique de mots de passe forts.
Outre ces améliorations, l'entreprise a abordé plusieurs failles de sécurité:
CVE-2018-4322 - c'est une vulnérabilité qui pourrait permettre à des comptes des applications locales de lire un identifiant de compte persistant;
CVE-2018-5383 - ceci est une erreur de validation d'entrée qui existait dans la mise en œuvre du protocole de communication qui pourrait permettre à des attaquants privilégiés d'intercepter le trafic Bluetooth;
CVE-2018-4330 - cette question est décrit comme la corruption de la mémoire. En cas d'exploitation, les attaquants pourraient exécuter un code arbitraire;
CVE-2018-4356 - cette vulnérabilité a été anonyme. Il est décrit comme un problème d'autorisation dans le système d'exploitation mobile d'Apple qui a permis des applications malicieuses d'apprendre des informations sur la vue actuelle de la caméra de l'utilisateur avant d'obtenir accès à la caméra;
CVE-2018-4338 - cette vulnérabilité est un problème de validation et il a permis aux pirates d'utiliser des applications malveillantes pour lire la mémoire restreinte;
CVE-2018-4363 - c'est l'un des graves problèmes de sécurité dans le noyau iOS résolus dans iOS 12. Le bug a été rapporté par Google Project Zero et il est décrit comme un problème de validation d'entrée qui pourrait permettre aux applications de lire la mémoire restreinte.
Une autre vulnérabilité grave dans la plate-forme de communication de messages d'Apple a également été fixé. La faille est une question de cohérence situé dans le traitement des instantanés d'applications, ce qui pourrait permettre à des attaquants locaux de découvrir les messages supprimés de l'utilisateur.
Failles dans Safari également patché
Plusieurs questions dans le navigateur Safari ont également été fixés dans sa dernière version, Safari 12: CVE-2018-4307, CVE-2018-4329, et CVE-2018-4195. CVE-2018-4307could permettent aux sites Web malveillants pour exfiltrer des données autofilled dans Safari. CVE-2018-4329 est décrit comme un problème qui pourrait empêcher de supprimer des éléments de l'historique de navigation. CVE-2018-4195 porte sur une question qui pourrait conduire à l'usurpation d'identité de l'interface utilisateur déclenchée en cliquant sur un lien sur un site Web malveillant.
D'autres problèmes comprennent une vulnérabilité de validation dans le IOMobileFrameBuffer, un bug de l'usurpation d'identité de mot de passe suivi comme CVE-2018-4305 dans l'iTunes Store, et un défaut qui pourrait être exploité pour récupérer le contenu supprimés dans les notes.
Enfin, un problème de chiffrement suivi comme CVE-2016-1777 déclenchée par la faiblesse de l'algorithme de chiffrement RC4 a également été patché. Pour remédier à la faille, la société a supprimé le protocole tout à fait.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: