Apple a publié une série de mises à jour de sécurité pour ses appareils, notamment l’iPhone XS, l’iPhone XS Max, l’iPhone XR et l’iPad de 7e génération. Ces correctifs adressent plusieurs vulnérabilités qui pourraient permettre à des attaquants d’accéder à des informations sensibles ou de compromettre la sécurité des appareils.
Plusieurs failles ont été identifiées, dont certaines pourraient permettre à un attaquant ayant un accès physique à un appareil verrouillé d’afficher des données utilisateur confidentielles. D’autres concernent la restauration de sauvegardes potentiellement malveillantes, qui pourraient modifier des fichiers système protégés. Des problèmes de gestion de chemins et de logique ont également été corrigés, ainsi que des vulnérabilités liées au traitement de fichiers multimédias et d’images.
Dans certains cas, le traitement de fichiers malveillants pourrait entraîner un arrêt inattendu des applications, une corruption de la mémoire ou même un déni de service. Une vulnérabilité permettait également à une application d’énumérer les applications installées par l’utilisateur, tandis qu’une autre pouvait potentiellement contourner les restrictions du bac à sable. Apple précise qu’une des failles concerne du code open source et que l’identifiant CVE a été attribué par un tiers.
Les mises à jour corrigent également des problèmes de confidentialité, notamment un risque d’accès à l’historique Safari et la possibilité pour une application de contourner certaines préférences de confidentialité. Plusieurs vulnérabilités concernent la gestion de la mémoire et des autorisations, ainsi que des failles potentielles permettant à des applications d’accéder à des données utilisateur sensibles.
Apple remercie plusieurs chercheurs en sécurité pour leur contribution à l’identification de ces vulnérabilités, notamment George Karchemsky de Trend Micro Zero Day Initiative, Xin’an Zhou et son équipe, ainsi que Fabiano Anemone et EntryHi. La liste complète des chercheurs remerciés est disponible dans la documentation de sécurité d’Apple.
Les détails techniques de chaque vulnérabilité, y compris les identifiants CVE (Common Vulnerabilities and Exposures), sont disponibles sur la page dédiée aux versions de sécurité Apple. Les utilisateurs concernés sont encouragés à installer les mises à jour dès que possible pour assurer la sécurité de leurs appareils.