Il y a urgence, mais Apple commet une faute

Lundi soir, Apple a mis à disposition des mises à jour de sécurité urgentes à destination de ses systèmes d'exploitation iOS, iPadOS et macOS. Leur diffusion entre dans le cadre de la fonctionnalité Rapid Security Response. C'est seulement la deuxième fois qu'Apple a recours à ce type de mécanisme.

L'objectif de Rapid Security Response est de maintenir à jour les protocoles de sécurité entre les mises à jour classiques. Par défaut, les mises à jour concernées sont installées automatiquement sur l'iPhone, l'iPad ou l'ordinateur Mac.

Outre une réponse plus rapide à des exploitations, Apple indique que la fonctionnalité Rapid Security Response peut aussi couvrir des améliorations de sécurité pour le navigateur Safari, le framework WebKit et des bibliothèques système critiques.

Une lettre à côté du numéro de version

Avec les mises à jour iOS 16.5.1 (a), iPadOS 16.5.1 (a) et macOS Ventura 13.4.1 (a) proposées dans le cadre d'une Rapid Security Response, Apple corrige une vulnérabilité de sécurité CVE-2023-37450 signalée par un chercheur anonyme.

Elle affecte WebKit et fait l'objet d'une exploitation active dans des attaques. Pour cette vulnérabilité 0-day, Apple n'entre pas dans les détails. " Le traitement de contenu web peut conduire à l'exécution de code arbitraire. "

Autrement dit, la vulnérabilité a été découverte dans le moteur de rendu WebKit et elle permet à des attaquants d'exécuter du code arbitraire sur des appareils pris pour cible, via l'ouverture de pages web qui contiennent un contenu malveillant.

Retrait temporaire

La diffusion des mises à jour connaît toutefois une pause. Apple les a retirées de manière temporaire après des signalements d'un bug avec Safari et divers sites et applications comme Facebook, Instagram, WhatsApp et Zoom.

Selon MacRumors, les mises à jour ont modifié l'user agent de Safari pour y inclure un (a) (version 16.5.2 (a) de Safari), ce qui a eu pour conséquence d'entraîner une incompatibilité avec certains sites web.

Apple ne devrait pas tarder à apporter une solution à ce malencontreux couac. La première mise à jour de sécurité urgente sous l'égide de la Rapid Security Response avait connu un bug côté serveur. Sur iPhone, il était mentionné une vérification impossible en raison d'un appareil n'étant plus connecté à Internet.