Apple a patché une faille zero-day d’iOS qui était activement exploitée

0

Apple a déployé des mises à jour de sécurité pour faire face à une faille zero-day d’iOS activement exploitée par les pirates informatiques et affectant les appareils iPhone, iPad, iPod et Apple Watch.

« Apple est au courant d’un rapport signalant que ce problème peut avoir été activement exploité. », a déclaré la société dans un avis de sécurité publié récemment.

La vulnérabilité identifiée comme CVE-2021-1879 a été signalée par Clement Lecigne de Google Threat Analysis Group et Billy Leonard de Google Threat Analysis Group.

La faille zero-day a été découverte dans le moteur de navigateur Webkit et permet aux pirates informatiques de lancer des attaques universelles de script inter-site(XSS) après avoir trompé des cibles en ouvrant du contenu Web malveillant sur leurs appareils.

La liste des appareils affectés est la suivante:

  • iPhone 6s et ultérieur, iPad Pro (tout les modèles), iPad Air 2 et ultérieur, iPad de 5ème génération et ultérieur, iPad mini 4 et ultérieur, et iPod touch (7ème génération).
  • iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, et iPod touch (6ème génération)
  • Apple Watch Series 3 et ultérieur

Les zero-day ont été adressés par Apple en améliorant la gestion des durées de vie des objets dans iOS 14.4.2, iOS 12.5.2, et watchOS 7.3.3.

« Cette mise à jour fournit des mises à jour de sécurité importantes et est recommandée pour tous les utilisateurs », explique Apple aux utilisateurs qui mettent à jour vers la dernière version d’iOS.

apple iOS

7 zero-day patchés par Apple durant les 5 derniers mois

Apple a corrigé deux autres ensembles de zero-day d’iOS exploités dans la nature en Janvier 2021 et Novembre 2020. Ces failles ont été signalé par un chercheur anonyme et Project Zero, l’équipe de recherche de bug zero-day de Google.

En Janvier, l’entreprise a corrigé une faille de situation de course dans le noyau iOS (identifié sous le nom de CVE-2021-1782) et deux failles WebKit (identifiées comme CVE-2021-1870 et CVE-2021-1871).

En Novembre, Apple a corrigé trois autres zero-day d’iOS : une faille d’exécution de code à distance (CVE-2020-27930), une fuite de mémoire du noyau (CVE-2020-27950) et une faille d’élévation de privilège du noyau (CVE-2020-27932) affectant les appareils iPhone, iPad et iPod.

Project Zero a récemment révélé qu’un groupe de pirates informatiques a utilisé 11 vulnérabilités zero-day dans des attaques ciblant les utilisateurs de Windows, iOS et Android en un an.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire