La dernière mise à jour du système d’exploitation macOS d’Apple est arrivée aujourd’hui – Big Sur 11,3 – et les experts en sécurité exhortent tous les utilisateurs à installer la mise à jour car elle contient un correctif critique.
La mise à jour corrige une faille découverte par le chercheur en sécurité Cedric Owens, qui « permet à un attaquant de créer très facilement une charge utile macOS qui n’est pas vérifiée par Gatekeeper », selon Owens.
« Cette charge utile peut être utilisée pour le phishing et tout ce que la victime a à faire est de double-cliquer pour ouvrir le fichier .dmg et de double-cliquer sur la fausse application à l’intérieur du .dmg – aucune fenêtre contextuelle ni aucun avertissement de macOS ne sont générés. »
Un autre chercheur en sécurité, Patrick Wardle, a découvert que la faille était déjà exploitée par les installateurs de logiciels malveillants, son article de blog décrivant en détail les mécanismes de l’exploit.
Sommaire
Porte déverrouillée
Normalement, lorsqu’un fichier suspect a le potentiel de nuire au système de l’utilisateur (généralement, un fichier exécutable ou un programme déguisé), macOS utilisera sa fonction Gatekeeper pour avertir les utilisateurs du type de fichier qu’ils installent réellement, malgré la façon dont il peut autrement être présenté.
La faille découverte par Owens permet aux pirates de contourner trivialement Gatekeeper, ainsi qu’un certain nombre d’autres mesures de sécurité de base, de sorte que l’utilisateur ne reçoive aucun avertissement entre un double-clic sur le fichier téléchargé et son exécution sur leur système.
À partir de Big Sur 11.3, les fichiers malveillants correspondant à la description ci-dessus présenteront désormais un message d’erreur indiquant que le fichier « ne peut pas être ouvert car le développeur ne peut pas être identifié ».
Outre ce correctif critique, la dernière mise à jour de macOS ajoute une variété de fonctionnalités de support pour les derniers produits de suivi AirTag d’Apple, ainsi qu’une intégration améliorée des applications iPhone et iPad sur les produits M1 Mac.
Pour la plupart des utilisateurs, le macOS devrait automatiquement se mettre à jour vers la dernière version, ou une invite de message devrait vous permettre de le faire. Si ce n’est pas le cas, accédez aux Préférences Système pour trouver la mise à jour logicielle et installez-la manuellement à partir de là.
