Nous avons annoncé il y a quelques heures la publication en urgence par Apple de nouvelles mises à jour de sécurité. Sur le segment de la mobilité, elles visent l’iPhone et l’iPad et corrigent des vulnérabilités déjà exploitées dans la nature.

La situation est problématique. Dans un document de support technique, le géant de Cupertino explique qu’iOS 15.6.1 et iPadOS 15.6.1 sont censés résoudre des failles de sécurité critiques. Elles effectuent le noyau du système d’exploitation mais également le composant essentiel WebKit. Normalement cette maintenance est automatique.

iOS 15.6.1 se déploie en urgence, quoi de neuf ?

Failles de sécurité critique, mon iPhone et mon iPAD sont-ils concernés ?

Concernant les appareils touchés, Apple indique que ces problèmes concernant l’iPhone 6s et plus récent, tous les modèles d’iPad Pro, l’iPad Air 2 et plus récent, l’iPad de 5^ième génération ou plus récent, l’iPad Mini 4 et plus récent et l’iPod touch (7e génération). Naturellement il est fortement conseillé de mettre à jour son apparil dès que possible.

 Les deux failles de sécurité

Au sujet de ces deux failles, celle affectant le noyau (CVE-2022-32894) est déjà exploitée par des pirates. En clair Apple explique que des attaques informatiques ont déjà eu lieu d’où l’importance de mettre à jour son appareil.  La marque à la pomme ajoute.

« Une application peut être capable d’exécuter du code arbitraire avec des privilèges de noyau. Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité. Un problème d’écriture hors limites a été résolu par une meilleure vérification des limites. »

La deuxième vulnérabilité affecte le composant WebKit. Encore une fois, il semble que la faille de sécurité soit déjà exploitée. La firme précise

« Le traitement de contenu Web malveillant peut entraîner l’exécution arbitraire de code. Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité. Un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.»

Comment mettre à jour mon iPhone ?

iOS 15.6.1 d’Apple

La mise à jour de l’iPhone n’est pas compliquée. Normalement l’icône Réglages alerte de la présence d’une ou plusieurs mises à jour. Il faut alors se rendre à l’adresse suivante

Réglage > Général > Mise à jour logicielle

Une recherche automatique de nouvelle mise à jour se lance et iOS 15.6.1 doit apparaitre. Il ne reste plus qu’à accepter le téléchargement et l’installation. Attention un redémarrage d’iOS est nécessaire pour que les changements et correctifs s’appliquent.

Cet article Vulnérabilités critiques, quels sont les iPhone et les iPad touchés a été publié en premier par GinjFo.

Microsoft a programmé la désactivation du TLS 1.0 et 1.1. Ce protocole de sécurité sera inactif dans Internet Explorer et Microsoft Edge (moteur EdgeHTML) le mois prochain.

Redmond a révélé officiellement la fin du TLS 1.x en octobre 2018 en fixant comme date de désactivation dans ses propres navigateurs le premier semestre 2020. Cependant en raison de la crise sanitaire mondiale le choix de repousser cette échéance a été prise.

Coronavirus, Microsoft reporte la désactivation du TLS 1.0 et 1.1 dans ses navigateurs

Il convient de souligner que cette fin de prise en charge de TLS 1.0 et 1.1 ne veut pas dire que le protocole va disparaitre. En réalité il n’est pas supprimé des deux navigateurs mais seulement désactivé par défaut. Du coup si une entreprise a absolument besoin d’utiliser l’une de ces versions, les administrateurs peuvent facilement le faire au travers d’une stratégie de groupe dédiée.

Le géant ajoute

« Nous mettons à jour le délai de désactivation de TLS 1.0 et TLS 1.1 par défaut pour Internet Explorer et EdgeHTML, le moteur de rendu du contrôle WebView. Les TLS 1.0 et TLS 1.1 seront désactivés par défaut pour les deux à partir du 13 septembre 2022. Les organisations qui souhaitent désactiver TLS 1.0 et TLS 1.1 avant cette date peuvent le faire à l’aide d’une stratégie de groupe. L’application de bureau Microsoft Edge Legacy n’est plus dans le champ d’application de cette période, car elle a atteint la fin de sa prise en charge le 9 mars 2021.»

Microsoft Edge et la désactivation du TLS 1.0 et 1.1

Si vous exécutez la dernière version de Microsoft Edge, ces anciennes versions de TLS sont déjà désactivées. En effet pour Microsoft Edge (basé sur Chromium), ce protocole en version 1.0 et 1.1 a été désactivé par défaut à partir de la version 84 du navigateur. La stratégie SSLVersionMin qui permettait son activation a été supprimée à partir de Microsoft Edge 91.

Si vous souhaitez activer cette prise en charge dans Internet Explorer il faut se rendre à cette adresse :

Outils > Options Internet > Avancé

Cet article Microsoft annonce la désactivation du TLS 1.0 et 1.1 dans ses navigateurs a été publié en premier par GinjFo.