Si vous n'avez pas mis à jour iOS pour vos terminaux mobiles Apple depuis longtemps, voici une bonne occasion de le faire. Apple a en effet lancé la version 10.3.1 de son système d'exploitation pour iPhone, iPad et iPod pour corriger une vulnérabilité permettant à un attaquant d'exécuter du code malveillant distant sur les puces WiFi Broadcom de ces terminaux. Cette vulnérabilité touche la fonction d'authentification dans le protocole 802.11r permettant aux terminaux de se connecter de façon sécurisée entre plusieurs stations de base sans fil d'un même domaine. Les hackers peuvent exploiter cette faille pour exécuter du code au sein même du firmware de la puce WiFi s'ils se trouvent à portée du réseau sans fil des terminaux visés.
Il s'agit là d'une vulnérabilité parmi d'autres trouvées par le chercheur Gal Benjamini de l'équipe de sécurité de Google, Project Zero, dans le firmware des puces Broadcom WiFi. Certaines d'entre elles concernent également les terminaux Android et ont été patchées dans le cadre du bulletin de sécurité Android d'avril. La mise à jour iOS 10.3.1, lancée lundi, est quelque peu inhabituelle car elle vient une semaine à peine après la 10.3 qui apportait pourtant un lot de correctifs touchant différents composants. L'explication pour ce court intervalle entre ces deux mises à jour est à voir du côté du délai pratiqué par Google Project Zero pour dévoiler au public les exploits de failles.
Le patch iOS 10.3.1 disponible seulement à partir des iPhone 5
Car Google a rapporté l'existence de cette faille à Broadcom le 21 décembre, ce qui aurait dû - compte-tenu du délai de 3 mois habituel de Google avant de rendre public la faille - lui laisser jusqu'au 21 mars afin de la corriger. Une période de grâce lui a cependant été accordée jusqu'au 1er avril, et, parce que la vulnérabilité se trouvait dans le code de Broadcom et non d'Apple, ce dernier a dû attendre un patch de la part du fabricant de puces avant de pouvoir le tester et le pousser sur sa base clients.
Le patch iOS 10.3.1 est disponible pour les iPhone 5, iPad 4 et iPod 6 ou de génération supérieure. Bien qu'aucun exploit public ne soit à déplorer, il est recommandé d'appliquer cette mise à jour.
Commentaire