Apple corrige le 9ème bug zero-day exploité dans la nature cette année

0

Apple a corrigé deux vulnérabilités zero-day d’iOS qui « pourraient avoir été activement exploitées » pour pirater des appareils iPhone, iPad et iPod plus anciens.

Les deux bogues (identifiés comme CVE-2021-30761 et CVE-2021-30762) sont causés par une corruption de la mémoire et une faille use-after-free dans le moteur de navigateur WebKit, tous deux trouvés et signalés par des chercheurs anonymes.

Webkit est un moteur de rendu de navigateur utilisé par les navigateurs Web et les applications pour traiter le contenu HTML sur les plates-formes de bureau et mobiles, notamment iOS, macOS, tvOS et iPadOS.

Les attaquants pourraient exploiter les deux vulnérabilités en utilisant du contenu Web conçu de manière malveillante qui déclencherait l’exécution de code arbitraire après avoir été chargé par les cibles sur des appareils non corrigés.

Les appareils concernés sont :

  • les iPhones (iPhone 5s, iPhone 6, iPhone 6 Plus).
  • les iPads (iPad Air, iPad mini 2, iPad mini 3).
  • le iPod touch (6ème generation).

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré Apple en décrivant les deux vulnérabilités d’iOS 12.5.4.

Flux constant de zero-days d’Apple exploités

Depuis Mars, nous avons vu un flot incessant de bugs zero-day (9 au total) apparaître dans les avis de sécurité d’Apple, la plupart d’entre eux étant également étiquetés comme ayant été exploités lors d’attaques.

Le mois dernier, Apple a corrigé une faille zero-day (CVE-2021-30713) de macOS utilisé par le malware XCSSET pour contourner les protections TCC d’Apple conçues pour protéger la confidentialité de ses utilisateurs.

Apple a également corrigé trois zero-days (CVE-2021-30663, CVE-2021-30665 et CVE-2021-30666) en Mai, des bogues trouvés dans le moteur Webkit permettant l’exécution arbitraire de code à distance sur des appareils vulnérables simplement en visitant les sites Web malveillants.

La société américaine a également publié des mises à jour de sécurité pour traiter un zero-day d’iOS (CVE-2021-1879) en Mars et un autre zero-day dans iOS (CVE-2021-30661) ainsi qu’une dernière faille zero-day dans macOS (CVE-2021-30657) en Avril. .

Ce dernier a été exploité par le malware Shlayer pour contourner les contrôles de sécurité File Quarantine, Gatekeeper et Notarization.

Laisser un commentaire