Apple a bouché plusieurs failles de sécurité dans WebKit avec les dernières mises à jour d’iOS et de macOS. Mais l’une d’entre elles est toujours exploitable. Le point intriguant dans l’affaire est qu’un correctif existe déjà, mais Apple ne l’a pas appliqué.

Une faille dans WebKit, le moteur de Safari, existe toujours sur iOS et macOS

La faille de WebKit, le moteur de rendu de Safari (et des autres navigateurs sur iOS), concerne AudioWorklet. Ce composant gère la sortie audio sur les pages Internet. Il se trouve qu’il est possible de faire planter Safari avec les bonnes commandes et, surtout, exécuter du code malveillant sur les iPhone, iPad ou Mac, explique la firme de sécurité Theori.

Un correctif pour cette faille a vu le jour il y a déjà trois semaines. Et pourtant, Apple ne l’a pas inclus dans ses dernières mises à jour (iOS 14.6 et macOS 11.4). Cela étonne fortement les chercheurs en sécurité. « Nous ne nous attendions pas à ce que Safari soit encore vulnérable plusieurs semaines après la publication du patch », explique l’un des chercheurs.

Il faut maintenant espérer qu’Apple inclura le patch pour boucher cette faille de WebKit avec iOS 14.7 et macOS 11.5. Les deux systèmes d’exploitation sont actuellement en bêta auprès des développeurs et testeurs publics. Apple n’a pas encore dit quand ces mises à jour seront disponibles en version stable, mais une sortie en juin est fort probable.