Comme l'a repéré l'ancien responsable de la sécurité de Facebook, Alex Stamos, la dernière mise à jour d'iOS publiée lundi, 12.2, réservait quelques surprises. Apple a en effet profité de ce patch pour corriger un total de 51 failles de sécurité dans son système d'exploitation mobile. Trois types de terminaux sont concernés : l'iPhone à partir du 5S, l'iPad Air et ses versions postérieures et l'iPod Touch 6e génération. La majorité des vulnérabilités se situent dans le moteur de rendu WebKit, qui est utilisé par de nombreuses applications et navigateurs web fonctionnant sur l'OS d'Apple, notamment Safari, Mail et l'App Store.
Selon la notification, le simple fait d'ouvrir un contenu malveillant à l'aide d'une application vulnérable basée sur WebKit pourrait permettre à des pirates distants d'exécuter du code, de récupérer des informations sensibles sur l'utilisateur, de contourner les restrictions du sandbox ou de lancer des attaques de script sur l'appareil.
Les Apple TV également concernées
Certaines vulnérabilités détectées (CVE-2019-6222 et CVE-2019-8566) permettaient par exemple aux sites et applications malveillants d'accéder à un microphone de périphérique iOS sans que l'indicateur en question soit affiché sur l'écran. Apple a également corrigé un bug (CVE-2019-8503) dans WebKit qui aurait pu permettre à des sites d'exécuter des scripts sur d'autres pages stockant des informations, qu'ils auraient pu alors voler.
Six vulnérabilités ont par ailleurs été repérées dans le core d'iOS, dont certaines pouvaient par exemple permettre à un attaquant de planter le système ou de corrompre la mémoire du noyau. Les détails techniques du correctif n'ont pas encore été publiés. Les produits de type tvOS comme Apple TV 4K et Apple TV HD, basés sur iOS dans une large mesure, devraient eux aussi être prochainement mis à jour.