Apple publie un groupe de correctifs de sécurité pour OS X et iOS, afin de supprimer de nombreuses vulnérabilités.
Ces vulnérabilités permettaient notamment à une personne malintentionnée d’espionner des conversations FaceTime, d’exécuter du code arbitraire à distance avec six failles de sécurité dans OpenSSL, sept dans QuickTime, et neuf dans WebKit, le moteur de Safari, donnant en plus un accès aux données et rendant vulnérable aux attaques par déni de service.
Les possesseurs d’Apple Watch devront mettre à jour watchOS vers la version 2.2.2, et ceux d’AppleTV devront mettre à jour tvOS vers la version 9.2.2.
Sur Windows, les utilisateurs devront mettre à jour iTunes et iCloud.
Suite à la publication des correctifs, Cisco Talos a dévoilé ses contributions. L’entreprise de cybersécurité a découvert et informé confidentiellement Apple de six failles de sécurités relatives au traitement des images.
Notamment le traitement des fichiers aux formats TIFF, OpenEXR, BMP, et Digital Asset Exchange.
Parce que les systèmes d’exploitation d’Apple créent automatiquement, dès la réception d’une image, une vignette, ou procèdent à d’autres traitements automatiques sans interaction de l’utilisateur, et que ces traitements sont bogués, il suffit d’envoyer une image malicieuse par MMS, lien Web, messagerie instantanée ou tout autre moyen, afin de compromettre le système ciblé.
Ces vulnérabilités de sécurité rappellent StageFright et StageFright 2.0, qui ont affecté presque tous les appareils Android, également sans que l’utilisateur puisse détecter ou prévenir une attaque.