macOS 13.2.1, iOS 16.3.1 : mettez vos appareils à jour, Apple a corrigé une grosse vulnérabilité
Mettez à jour rapidement vos appareils Apple avec les dernières mises à jour fournies ce soir par le constructeur. La Pomme a en effet donné des précisions sur la nature des correctifs livrés avec les nouvelles versions de ses OS et il y en a un en particulier qui se révèle particulièrement importante.
Numérotée CVE-2023-23529, cette faille de sécurité permet à un malandrin de générer du code arbitraire sur un terminal à partir d'un contenu web vérolé. Apple rapporte que la vulnérabilité peut être activement exploitée actuellement. Le correctif est livré avec iOS 16.3.1, iPadOS 16.3.1, macOS 13.2.1 et il y a aussi une version 16.3.1 pour Safari (fournie dans les autres mises à jour).
On peut également penser que watchOS 9.3.1 ainsi que tvOS 16.3.2 embarquent ce correctif (des détails seront donnés dans la soirée par Apple pour ces deux OS).
iOS 16.3.1 : correction de bugs et optimisation de la détection d'accidents de voiture
macOS 13.2.1 est en ligne avec d'importants correctifs de sécurité
watchOS 9.3.1 est disponible pour tous les utilisateurs
Fait sur tous mes appareils
J’espère que ma batterie va garder sa capacité optimale et impressionnante sur mon iPhone
@Jeamy
C’est une maj mineure, ça devrait aller
https://www.cyberveille-sante.gouv.fr/alertes/jsonwebtoken-cve-2022-23529-2023-01-18
ca touche node.js, donc potentiellement homebridge
@totoguile
Comment comprendre ceci:
https://github.com/auth0/node-jsonwebtoken/security/advisories/GHSA-27h2-hvpr-p74q
Vulnérabilité ou pas vulnérabilité ?
@Marcos Ickx
Interessant !
"The security issue remains a concern only when the JsonWebToken library is used in an insecure way. In such a scenario, if all the prerequisites are met, the issue may be exploitable; however, the source of this risk is the calling code and not the library itself."
J'en conclus qu'Apple lutilise JsonWebToken d'une manière inappropriée ...
J'avais cru comprendre qu'Apple devait permettre l'installation de mises à jour de sécurité sans redémarrer… Ceci dit, le redémarrage a été TRÈS rapide cette fois-ci : à peine cinq minutes. Une mise à jour de sécurité pour Safari pour Monterey a été proposée aussi.
Et c'est pas typiquement le genre de correctif qui aurait pu être apporté par le nouveau système de mises à jour de sécurité ?
Est-ce que cette mise à jour soudaine pourrait avoir un rapport avec les incidents survenus il y a quelques jours (Safari en panne et Homepod ne reconnaissant plus les objets) ?
@Cyrille50
C’est ce que je me suis dit aussi 🤔😈
Fait sur tout mes appareils, sauf ceux qui tournent encore sous iOS 15 et ne peuvent être mis à jour vers iOS 16.
La question est : Les appareils sous iOS 15 sont-ils vulnérables ?
@Marcos Ickx
Même question en pire : mon Mac est bloqué à High Sierra (10.13) car trop ancien pour Apple. Je ne bénéficie plus d’aucun patch de sécurité depuis 2 ans. Mais j’ai un antivirus à jour (intego). Y’a t-il un quelconque risque ? L’antivirus est-il suffisant pour palier les failles de sécurité ?
@Derrick92
Vous pourriez utiliser Open Core Legacy patcher. Il y a un article macG à ce sujet. Je viens d’installer Monterey sur un MacBook unibody 2009 avec un SSD et le résultat est satisfaisant bien qu’un peu lent et GarageBand ne fonctionne pas. Mieux vaut faire une copie intégrale du disque avant de se lancer pour pouvoir revenir à l’état initial si le résultat n’est pas à la hauteur de vos attentes.
@primeweb
Merci je vais essayer, mon iMac 27’ de 2011 fonctionne encore très bien, pas question de le remplacer.
@Derrick92
Vérifiez quand même la compatibilité avant de vous lancer https://dortania.github.io/OpenCore-Legacy-Patcher/MODELS.html
[Edit : j'ai depuis fais un essai sur un MacBook Pro 2013 avec Monterey ça fonctionne très bien et même avec un Mac mini 2010 qui me sert de Media Center, ça a l'air tout à fait fonctionnel également.]
Je ne comprends pas, cette màj semble utiliser le mécanisme standard de mise à jour, alors qu’une « Rapid Security Response » serait là beaucoup plus appropriée (pour le contenu de sécurité donc)🤔
Je ne sais pas si il y a un lien mais une mise à jour de sécurité de Monterey 12.6.2 en 12.6.3 est également disponible... J'étais peut-être un peu en retard.
Oui, elle n'a pas de lien :
https://www.macg.co/macos/2023/01/des-failles-corrigees-dans-macos-big-sur-et-monterey-134327
Ce soir, Monterey n'a droit qu'à Safari 16.3 (17614)
Sauf si vous voulez utiliser Google photos 😏
Euh, les mises à jours à gogo (même si c'est pour notre "bien"), dans l'univers Apple ça devient d'un lourd. Dans une famille, avec tous les ibidules, ça en devient même ridicule. Apple devrait s'intéresser à ce problème. Perso, j'aimerai un gros bouton, mettre à jour tous les appareils, et hop ça se met à jour partout.
oui ça serait très pratique
Ouais… moi je laisse mon XR sous 15.7…
Depuis la MaJ, mon MBP14M1Pro ne sait plus s’arrêter. Lorsque je l’arrête, l’écran s’éteint bien mais le pad est toujours actif, le retour haptique fonctionne et il redémarre au « clic ». Normalement un mac éteint est éteint…
@3083remi
Sauf erreur de ma part, ce comportement ne depend pas de cette maj. J’ai toujours eu ça depuis le debut, ca m’avait également étonné.
@Encoreplusgrincheux
Sur mon MBP de 2015 je n’ai pas ce comportement (mais il n’a pas ios 13.2.1).
Le bug des disques durs externes qui ne montent pas n’est toujours pas corrigée.
Shame on you Cupertino