Nous savons maintenant ce qu'Apple a corrigé dans sa première réponse rapide de sécurité pour iOS et macOS.

Le 2 mai, Apple a publié sa première mise à jour Rapid Security Response pour iOS 16.4, iPadOS 16.4 et macOS 13.3. Apparemment, Apple était tellement pressé de publier la mise à jour (d'où le terme "rapide") qu'il ne voulait pas attendre iOS 16.5 et macOS 13.4, qui sont arrivés deux semaines plus tard. À l'époque, elle n'a pas divulgué ce qui avait été corrigé, mais nous le savons maintenant.

Cependant, les notes de sécurité des mises à jour iOS 16.5, iPadOS 16.5 et macOS Ventura 13.4 publiées jeudi contiennent des détails sur les correctifs apportés par la mise à jour Rapid Security Response. Vous pouvez lire les notes de sécurité complètes en ligne, mais nous avons extrait ci-dessous les correctifs spécifiques à la mise à jour Rapid Security Response. Les trois appareils ont reçu les mêmes correctifs, et ils sont désormais également disponibles pour macOS Monterey et Big Sur, ainsi que pour iOS 15.

WebKit

• Impact : Le traitement du contenu web peut divulguer des informations sensibles. Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été activement exploité.
• Description : Une lecture hors limites a été corrigée grâce à une amélioration de la validation des entrées.
• WebKit Bugzilla : 254930
• CVE-2023-28204 : un chercheur anonyme

WebKit

• Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures, et iPad mini 5e génération et versions ultérieures.
• Impact : Le traitement d'un contenu web conçu de manière malveillante peut conduire à une exécution de code arbitraire. Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été activement exploité.
• Description : Un problème de type "use-after-free" a été résolu grâce à une meilleure gestion de la mémoire.
• WebKit Bugzilla : 254840
• CVE-2023-32373 : un chercheur anonyme

Qu'est-ce que la réaction rapide en matière de sécurité ?

Apple a présenté les Rapid Security Responses lors de la WWDC l'année dernière, mais la première utilisation de cette fonctionnalité n'a eu lieu qu'au début de ce mois. Cette fonctionnalité est utilisée lorsqu'Apple doit publier des mises à jour urgentes pour protéger la sécurité des iPhones, iPads et Macs, et elle n'inclut pas les éléments contenus dans les mises à jour habituelles du système d'exploitation, telles que les nouvelles fonctionnalités ou les corrections de bogues.

Un appareil doit exécuter la dernière version de son système d'exploitation pour que les réponses rapides de sécurité fonctionnent. L'installation automatique est activée par défaut, et les mises à jour Rapid Security Response sont identifiées par une lettre à la fin du numéro de version. Par exemple, la première mise à jour d'iOS est iOS 16.4.1 (a).

Pour activer/désactiver les réponses rapides de sécurité :

• iPhone/ iPad : Allez dans Réglages > Général > Mise à jour du logiciel > Mises à jour automatiques. Basculer le commutateur pour "Réponses de sécurité & Fichiers système".
• Dans Paramètres du système, cliquez sur Général dans la barre latérale. Dans la fenêtre principale, cliquez sur Mise à jour du logiciel. Cliquez sur l'icône "i" à côté de Mises à jour automatiques, puis basculez l'interrupteur pour "Installer les réponses de sécurité et les fichiers système".