Apple corrige des failles de sécurité liées au JPEG et aux PDF

Nicolas Furno |

Si vous ne mettez pas à jour régulièrement vos appareils, voici une excellente raison de le faire cette fois. iOS 10.1 pour les appareils iOS et macOS 10.12.1 pour les Mac corrigent une faille de sécurité potentiellement très dangereuse : afficher un banal fichier JPEG ou un document PDF pouvait permettre d’exécuter du code. Un vecteur d’attaque très simple : il suffit d’afficher le fichier dans le navigateur, par exemple, pour exécuter le code malveillant.

En général, il est préférable de ne pas attendre pour installer des mises à jour de sécurité. Cest encore plus le cas cette fois. Cliquer pour agrandir
En général, il est préférable de ne pas attendre pour installer des mises à jour de sécurité. C’est encore plus le cas cette fois. Cliquer pour agrandir

Cette faille est désormais corrigée et vous devriez mettre à jour tous vos terminaux sans attendre. Notez que c’est également le cas pour les Apple TV (correction dans tvOS 10.0.1) et pour les Apple Watch (watchOS 3.1 s’en charge). Comme pour les iPhone et iPad, Apple ne propose rien si vous voulez rester à une version précédente et la mise à jour avec la dernière version est votre seule option.

Sur Mac, Apple laisse un petit peu plus de latitude et des mises à jour de sécurité sont proposées depuis hier soir pour El Capitan et même Yosemite. Avant cela, votre Mac n’est probablement pas protégé. Safari 10.0.1 est aussi de la partie pour combler cette vilaine faille.

avatar kitetrip | 

Laisser les anciens iOS en plan, c'est vraiment une politique marketing dictée par un service financier..

avatar XiliX | 

@kitetrip

Ou alors, la faille ne concerne pas les anciennes versions d'iOS ?

avatar C1rc3@0rc | 

Si la mise a jour concerne Yosemite, El Capitan et Siera, et iOS la probabilité que les autres OS d'Apple soient egalement compromis est tres forte.

Le mieux est de bloquer les images et PDF dans les navigateurs: Adblock, ScriptBlock comme extensions, desactiver l'ouverture des PDF dans les navigateurs et choisir le telechargement a la place, pareil dans les soft de mail...

On sait depuis un moment (iOS 5 je crois) qu'un PDF malicieux peut constituer une faille majeure et il n'y a aucune raison qu'un site WEB envoi automatiquement un PDF, le WEB c'est du HTML, pas du PDF. Si un doc en PDF se trouve sur un site WEB, c'est pas au navigateur de l'afficher, il ne doit juste que le telecharger et apres on peut l'ouvrir avec un soft dedié et securisé, et apres l'avoir passé a l'antivirus!

Pareil pour les email, y a deja le pixel tracker (un jpeg constitué d'un pixel) qui permet de pister ou meme de rediriger sur un site verolé, alors faut desactiver l'affichage automatique des image et surtout bloquer les images provenant d'un site tiers que celui que l'on consulte.

Tout ça bloque la pub, mais cela bloque surtout les risques d'etre piraté et infecté par des troyens et autres "virus" multi-plateformes!

avatar Giloup92 | 

@kitetrip
Ils ne sont pas laissés en plan puisqu'ils sont mis à jour !

avatar iVador | 

@kitetrip

Il suffit de mettre à jour son os. Personne n'est laissé en plan.

avatar 0MiguelAnge0 | 

@iVador :
Très un gros champion du monde toi?! Va dire cela au proprios de 4S!!!
Et ceux comme moi qui sont satisfaits de leur OS et qui ne souhaitent pas se retrouver avec des perfs dégueulasses juste pour pouvoir jouer au kikoolol avec des stickers sur iMessage...

avatar IceWizard | 

@kitetrip
"Laisser les anciens iOS en plan, c'est vraiment une politique marketing dictée par un service financier.."

C'est marrant que tu dise ça, vu que je suis en train de télécharger la mise à jour pour El Capitan, l'un de ces anciens OS.

avatar daffyduuck | 

@kiletrip: non. C'est le cas de tous les systèmes d'exploitations. Macos, iOS, Windows, mais aussi pour tous les OS libres : Ubuntu, Fedora,... il y a un moment où tu ne peux plus consacrer des milliers d'heures de développement pour une petite minorité d'utilisateurs. C'est pas la finance qui le dicte , c'est le bon sens.

avatar Crkm | 

Les mises à jour de sécurité existent pour les anciennes versions de Windows, hein. Même sur macOS. C'est écrit dans l'article. Faut lire les articles, des fois c'est utile.

avatar ArnaudB | 

Sur windows le parc est largement hétérogène avec des millions de machines qui font tourner des windows antédiluviens. C'est aussi vrai, mais dans une moindre mesure sous Mac. Sous iOS c'est exactement l'inverse avec à chaque fois environ 80% du parc qui a adopté la dernière version de l'OS. La réflexion de Daffyduuck reste valable.

avatar oomu | 

il y a une limite au support technique pour sécurité de Windows.

Même si microsoft a très longtemps maintenu Windows XP (et n'oublions pas qu'elle vendait des service autour de XP, donc ce n'est pas totalement dénué de sens), il y a une limite tôt ou tard.

Bien évidemment, des distributions linux aux moyens plus limité mais à la plus grande flexibilité offrent moins de support.

Cela dit, une ubuntu LTS est maintenue 5 ans.

Redhat Enterprise peut avoir 10 ans de support pour sécurité et éventuellement plus si on paie (comme Microsoft)

-
enfin bon, l'un dans l'autre, ça va, c'est pas Android, et y a des limites aux moyens humains.

avatar poulpe63 | 

Et la limite, c'est quoi chez Apple ? Un an ? Pour rappel, iOS 9 n'a qu'un an. Et si faille présente, il n'y a aucune raison qu'elle ne soit pas corrigée.
Que je sache, et d'après l'article : El Capitan (1 an d'age) et Yosemite (2 ans) ont aussi leurs correctifs : pourquoi pas iOS 9 (1 an), et iOS 8 (2 ans) ?

avatar supermars | 

@daffyduuck

Sauf que... Ça sent la fameuse obsolescence programmée de manière logicielle, donc arnaque. Chez moi: un iPhone 6 et un 6s et aucune envie de passer à iOS 10 pour perdre 30 à 40% de batterie comme TOUS mes amis qui l'ont fait !
Et sur le Mac: quand c'est une machine de production, on ne s'amuse pas à changer pour un système d'exploitation à peine cuit ( bon, en l'occurrence ils ont patché les anciens).
ÇA, c'est vraiment un truc qui m'énerve et qui risque de me faire changer de crèmerie

avatar rulian | 

Et pour Maverick ? une mise à jour prévue ?

avatar Jeanlucesi | 

Laisse tomber Mavericks.(si compatible)
Macos fonctionne tellement mieux.

avatar melen | 

Je suis resté sous Mavericks (MBPr fin 2013), ça fonctionne très bien ! Et le "flat design" ne me manque pas !
Suis surpris quand même que Mavericks ne soit plus mis à jour, on est seulement dans la 3ème année !

avatar Olivoude | 

Je doute que 80% des Mac soient sous Sierra. C'est donc bien l'esprit financier qui domine chez Apple.
Qui plus est, depuis quelques temps, la sécurité est devenue un des axes prioritaire d'Apple. Alors seuls ceux qui ont le dernier matos peuvent en bénéficier ?

avatar naarin | 

@Olivoude

Mon MacBook unibody fin 2009 est compatible Sierra, même s'il ne l'est pas, les précédents systèmes jusqu'à Yosemite continuent de bénéficier des mises à jour de sécurité. Concrètement, à moins d'avoir acheté son mac il y a belle lurette, la possibilité de se prémunir des dernières menaces existe (mise à jour de sécurité d'un vieux système ou passage à une nouvelle version de macOS).

avatar Yoskiz (non vérifié) | 

Purée du code malveillant en affichant une image jpeg... ?
C'est flippant quand même ?

Vous trouvez pas ?

avatar françois bayrou | 

C'est pas nouveau
Ca fait quelques années qu'on peut cacher du code dans un jpeg ou un pdf, pour le faire ensuite exécuter sur le client ... ou le serveur

avatar anotherbitethedust | 

Je suis sous Maverick et il n'y a rien.. ??! - Maverick n'a pas la faille ?

avatar r e m y | 

@anotherbite
Mavericks doit être concerné par la faille, mais Apple ne diffuse plus de mise a jour de sécurité pour Mavericks et OS anterieurs (ni de mises à jour pour safari)

avatar comvis | 

@oomu
C'est un secret de polichinelle mais pour xp il y a toujours des mises a jour ;)

Perso je pense quils devrait assurer un minimum de 5ans de mises a jours de secu. Quand tu as une machine de prod les configs sont normalement figées le plus longtemps possible. Il ne faut pas oublier les applications métiers

avatar christopher.saez | 

Pareil pour les devices bloqué sous iOS9?

avatar SwissAlexx | 

Bon je peux pas mettre à jour depuis iTunes mon iPhone, il me dit que je n'ai pas assez de mémoire, alors qu'il me reste 1.44 Go sur mon iphone??? (la mise à jour signale un besoin de 620 Mo).
Ça devient vraiment pénible!

Pages

CONNEXION UTILISATEUR