Alors que le feu des projecteurs est braqué sur l'arrivée du service de streaming musical d'Apple (9,99$ par mois ou 14,99$ par mois pour une famille), l'autre principale actualité de la firme à la pomme concerne la salve de correctifs de sécurité apportés pour la version 8.4 d'iOS et la 10.10.4 de Mac OS X. Parmi les principaux pour Mac (1,26 Go tout de même avec iTunes 12.2), on trouve celui qui concerne le problème trouvé par un chercheur en juin au niveau de l'Extensible Firmware Interface (EFI) qui permet de gérer l'allumage ou le redémarrage du système d'exploitation, affectant les Mac conçus jusqu'à la mi-2014. Un problème qui pourrait permettre à une personne malveillante de modifier le firmware de l'OS pour provoquer son dysfonctionnement. La mise à jour de sécurité EFI Security Update 2015-001 qui corrige ce problème est disponible pour Mountain Lion, Mavericks et également Yosemite. Elle permet également de résoudre - en partie seulement pour l'instant - le bug Rowhammer pouvant compromettre l'intégrité des données dans la DRAM.
Du côté d'iOS, un correctif est disponible pour l'app Mail des iPhone 4, 5 et 6, iPad (à partir du 2) et iPod touch de 5e génération afin d'empêcher qu'une page HTML malicieuse soit chargée en corps de mail à des fins de phishing. Une vulnérabilité qui pour l'heure, précise Apple, n'a cependant pas été exploitée. Les autres patchs proposés sont relatifs à l'application store, CFNetwork HTTPAuthentification ou encore CoreGraphics, Text et TLS.
Le set de certificats de confiance Trust Store mis à jour
Quelques mois après Google, Mozilla et Microsoft, Apple s'est par ailleurs (enfin) décidé à exclure de sa liste certains certificats d'autorité produits par l'agence China Internet Network Information Center (CNNIC) qui gère le domaine .cn. Cette dernière avait été accusée en mars dernier de permettre à des tiers de créer des certificats permettant de faire passer pour sécuriser des sites qui ne l'étaient pas. Le nouveau set de certificats de confiance, Trust Store, exclut ainsi à partir de maintenant les certificats produits par la CNNIC après cet incident. La firme à la pomme a également corrigé un problème permettant à un tiers malintentionné d'intercepter des informations de sessions mail/web chiffrées.