iOS 17.5 bouche 15 failles de sécurité et provoque un bug avec les App Store tiers
Avec iOS 17.5, Apple a bouché 15 failles de sécurité. Mais il y a un petit problème : l’un des correctifs provoque un bug qui concerne les boutiques d’applications tierces (comme AltStore PAL) dans les pays de l’Union européenne.
Les failles corrigées avec iOS 17.5 concernent AppleAVD, AppleMobileFileIntegrity, AVEVideoEncoder, Localiser, kernel (noyau), Libsystem, Plans, MarketplaceKit, Notes, RemoteViewServices, captures d’écran, Raccourcis, services de synchronisation, contrôle vocal et WebKit. Contrairement à de précédentes mises à jour, aucune faille n’avait déjà été exploitée par des hackers avant les correctifs d’Apple. C’est donc une bonne chose.
Un problème avec iOS 17.5 et les App Store tiers
Ce qui l’est moins, c’est que le correctif pour la faille touchant le framework MarketplaceKit provoque un bug. Avec iOS 17.5, il n’est plus possible de réinstaller les App Store tiers si vous les supprimez. Un message d’erreur s’affiche à l’écran, indiquant qu’il n’est pas possible d’installer la boutique d’applications. « Il y a eu un problème en installant l’application depuis altstore.io. Essayez une nouvelle fois », peut-on lire. Mais le fait de réessayer ne change rien.
Mysk explique le bug :
iOS 17.5 empêche la réinstallation des boutiques d’applications alternatives. MarketplaceKit génère désormais un différent client_id à chaque fois qu’il est appelé. Les développeurs de places de marché alternatives n’ont plus aucun moyen d’identifier les utilisateurs qui ont déjà acheté l’application de la place de marché.
Il faut maintenant s’attendre à ce qu’Apple propose iOS 17.5.1 pour corriger le tir. Il sera intéressant de voir si Apple prendra bien son temps (ou pas) pour le correctif, sachant que le fabricant n’aime pas le DMA en Europe qui impose notamment les App Store tiers.
D’autre part, un chercheur en sécurité se plaint que la faille du kernel qu’il a découverte n’est pas éligible pour un paiement dans le cadre du programme Apple Security Bounty.
c balo ca
Pas grave pour les stores tiers, je conserve ma confiance à l’AppStore, j’ai bien trop peur de me faire escroqué par ces stores.