Plus tôt ce mois-ci, lorsque Apple a publié iOS 16.3, nous vous avons dit que l’une des mises à jour de sécurité corrigées par la mise à jour était celle répertoriée comme CVE-2023-23503. L’utilisation des numéros de suivi des vulnérabilités et expositions communes (CVE) permet au public de suivre plus facilement les vulnérabilités. Ce bug de confidentialité était lié à Apple Maps et s’il était exploité, il pourrait permettre aux attaquants de « contourner les préférences de confidentialité ».
Eh bien, cela ne sonne pas bien, n’est-ce pas. Mais Apple a dit 9to5Mac aujourd’hui que cette vulnérabilité n’a jamais été une menace pour les utilisateurs d’iPhone. La vulnérabilité qui a été corrigée dans iOS 16.3 « ne pouvait être exploitée qu’à partir d’applications sans bac à sable sur macOS ». Ainsi, comme l’a déclaré Apple dans sa déclaration, « La suggestion selon laquelle cette vulnérabilité aurait pu permettre aux applications de contourner les contrôles de l’utilisateur sur l’iPhone est fausse. »
Les applications en bac à sable reçoivent leur propre « bac à sable » dans lequel elles peuvent « jouer » pour les empêcher d’accéder aux fichiers utilisés par d’autres applications ou d’apporter des modifications à un appareil. Étant donné que toutes les applications tierces disponibles pour l’iPhone dans l’App Store doivent être mises en bac à sable, la seule façon d’installer les applications sans bac à sable qui pourraient exploiter la vulnérabilité serait de télécharger des applications sur l’iPhone, ce qu’Apple n’autorise pas.
La mise à jour iOS 16.3 a éliminé certaines failles logicielles
Donc, si les utilisateurs d’iPhone n’étaient pas à risque, pourquoi Apple a-t-il inclus le correctif dans iOS 16.3 ? Étant donné que la base de code pour macOS est partagée par iOS, iPadOS, tvOS et watchOS, Apple a décidé d’inclure le correctif dans toutes les mises à jour publiées la semaine dernière.
Apple a également abattu un rapport que nous avons inclus dans l’histoire discutée précédemment qui indiquait qu’une application iOS appelée iFood (qui est l’une des principales plates-formes de livraison de nourriture au Brésil) exploitait une vulnérabilité qui lui permettait d’accéder « à l’emplacement d’un utilisateur dans iOS 16.2 même lorsque l’utilisateur a refusé à l’application tout accès à la localisation. » Apple a déclaré qu’une « enquête de suivi a conclu que l’application ne contournait les contrôles des utilisateurs par aucun mécanisme ».
Alors voilà, les gens. Vos combinés iPhone n’ont jamais été en danger, et les Brésiliens qui commandaient de la nourriture à partir de l’application iFood ne permettaient pas aux attaquants d’obtenir vos données de localisation. Peut-être pourrez-vous mieux dormir cette nuit.
Source link -12
