Apple a patché une faille d’exécution de code à distance dans WebKit

0

Apple déploie des correctifs pour une vulnérabilité de grande gravité dans son moteur de navigateur WebKit qui, s’il est exploité, pourrait permettre aux attaquants distants de compromettre complètement les systèmes affectés.

Le géant des smartphones a déployé des mises à jour de sécurité pour la faille, pour son navigateur Safari, ainsi que des appareils utilisant macOS, watchOS et iOS.

La faille (CVE-2021-1844) a un score de 7,7 sur 10 sur l’échelle de gravité CVSS, ce qui veut dire qu’elle est de haute gravité. Un exploit permettrait à un attaquant d’exécuter du code à distance et de prendre le contrôle total du système.

Apple a recommandé aux utilisateurs d’appareils concernés de mettre à jour dès que possible: « Garder votre logiciel à jour est l’une des choses les plus importantes que vous pouvez faire pour maintenir la sécurité de votre produit, » a déclaré la société américaine.

Qu’est ce que le WebKit d’Apple?

Le moteur de navigateur WebKit a été développé par Apple pour être utilisé dans son navigateur Web Safari – cependant, il est également utilisé par Apple Mail, l’App Store, et diverses applications sur les systèmes d’exploitation macOS et iOS. La vulnérabilité provient d’un problème de corruption de mémoire dans WebKit. Ce type de faille se produit lorsque le contenu d’un emplacement de mémoire est modifié d’une manière qui dépasse l’intention d’origine du programme, cela permet aux pirates informatiques d’exécuter du code arbitraire.

Dans le cas de cette faille spécifique, si WebKit traite des contenus Web spécialement conçus et malveillants, cela pourrait mener à une exploitation réussie, selon Apple.

Dans une attaque réelle, « un attaquant distant peut créer une page Web spécialement conçue, pousser la victime à l’ouvrir, ce qui déclenchera la corruption de mémoire et l’exécution de code arbitraire sur le système ciblé », selon un avis.

Quels appareils sont affectés?

Apple a déployé les mises à jour sur une variété d’appareils. Les mises à jour sont disponibles sur macOS Big Sur 11.2.3; watchOS 7.3.2 (pour la série 3 de l’Apple Watch ou une série ultérieure), iOS 14.4.1(pour l’iPhone 6s ou version ultérieure) et iPadOS 14.4.1 ( iPad Air 2 ou version ultérieure, iPad mini 4 ou version ultérieure, et iPod Touch 7ème génération).

Des correctifs de sécurité sont également disponibles via Safari 14.0.3 pour macOS Catalina et macOS Mojave : « Après avoir installé cette mise à jour, le numéro de build de Safari 14.0.3 est 14610.4.3.1.7 sur macOS Mojave et 15610.4.3.1.7 sur macOS Catalina », a noté Apple. Les utilisateurs peuvent visiter cette page pour savoir comment mettre à jour leurs appareils.

Clément Lecigne du Groupe d’analyse des menaces de Google et Alison Huffman de Microsoft Browser Vulnerability Research ont été crédités pour avoir découvert la faille.

Les mises à jour de sécurité d’Apple

Ce n’est que le dernier bug à être trouvé dans WebKit: en Janvier, Apple a déployé une mise à jour d’urgence qui a corrigé trois bugs de sécurité récemment découverts dans iOS. Deux d’entre eux – CVE-2021-1870 et CVE-2021-1871 – ont été découverts dans WebKit (tandis que le troisième, dont l’identifiant CVE est CVE-2021-1782, a été découvert dans le noyau du système d’exploitation).

Les vulnérabilités de WebKit sont des problèmes logiques que la mise à jour adresse avec des restrictions améliorées, selon Apple. L’exploitation de ces failles permettrait à un attaquant distant « de provoquer l’exécution de code arbitraire », a déclaré la société.

Ces mises à jour de sécurité surviennent également quelques semaines après qu’Apple ait publié son guide de sécurité de la plate-forme pour l’année 2021, décrivant son programme de sécurité actuel et à venir pour son matériel et ses logiciels. Le rapport approfondi couvrait la sécurité d’iOS 14, macOS Big Sur, Apple Silicon et iCloud Drive.

Laisser un commentaire