Apple publie iOS 12.5.5 avec des correctifs de sécurité pour iPhone 5s, iPhone 6 et autres appareils plus anciens

activé
Catégories : Apple

Dans un geste quelque peu inattendu, Apple a publié jeudi iOS 12.5.5, une petite mise à jour du micrologiciel pour les anciens iPhone, iPad et iPod touch incapables d’exécuter iOS ou iPadOS 13 et versions ultérieures.

Selon Apple, iOS 12.5.5 corrige les failles de sécurité présentes dans iOS 12.5.4 et versions antérieures et est recommandé pour tous les combinés capables de l’installer.

L’installation d’iOS 12.5.5 sur les appareils pris en charge devrait permettre de garantir que les données de l’appareil ne peuvent pas être compromises par des pirates malveillants via les failles de sécurité susmentionnées.

En parlant d’appareils pris en charge, ceux-ci incluent, sans s’y limiter :

  • iphone 5s
  • iphone 6
  • iPhone 6 Plus
  • iPad Air 1
  • iPad mini 2
  • iPad mini 3
  • iPod touch 6e génération

Bien qu’il soit inhabituel pour Apple de publier des mises à jour de versions vieilles de plusieurs années d’iOS et/ou d’iPadOS, ce n’est pas rare. Apple continue parfois d’assurer la sécurité des anciens combinés si le risque pour les utilisateurs est suffisamment grand pour mériter une attention particulière.

Dans ce cas, il semble que l’une des failles de sécurité soit liée à l’exploit zéro clic qui aurait pu être utilisé par des pirates informatiques malveillants lors de l’incident du logiciel espion Pegasus. Ce même exploit vient d’être corrigé dans les précédentes mises à jour iOS et iPadOS 14.8 pour les nouveaux combinés.

Selon le contenu de sécurité de la mise à jour iOS 12.5.5, elle résout les problèmes suivants :

CoreGraphics

Disponible pour : iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération)

Impact : le traitement d’un PDF construit de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.

Description : un débordement d’entier a été résolu avec une validation d’entrée améliorée.

CVE-2021-30860 : Le laboratoire citoyen

WebKit

Disponible pour : iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération)

Impact : le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.

Description : un problème d’utilisation après la gratuité a été résolu avec une meilleure gestion de la mémoire.

CVE-2021-30858 : un chercheur anonyme

XNU

Disponible pour : iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération)

Impact : une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau. Apple est au courant des rapports selon lesquels un exploit pour ce problème existe dans la nature.

Description : un problème de confusion de type a été résolu grâce à une meilleure gestion des états.

CVE-2021-30869 : Erye Hernandez de Google Threat Analysis Group, Clément Lecigne de Google Threat Analysis Group et Ian Beer de Google Project Zero

Les appareils plus récents qui exécutent déjà iOS ou iPadOS 13 ou une version ultérieure n’ont pas besoin de se préoccuper d’iOS 12.5.5 ; cela inclut l’iPhone 7 et versions ultérieures.

Avez-vous un appareil plus ancien capable d’installer iOS 12.5.5 qui doit être dépoussiéré pour cette nouvelle mise à jour ? Faites-le nous savoir dans la section commentaires ci-dessous.