Apple corrige une faille zero-day affectant les iPhones et les Mac

0

Apple a publié des mises à jour de sécurité pour remédier à une vulnérabilité zero-day exploitée à l’état sauvage et ayant un impact sur les iPhones, iPads et Mac.

La vulnérabilité, identifiée comme CVE-2021-30807, est un problème de corruption de mémoire dans l’extension du noyau IOMobileFramebuffer signalé par un chercheur anonyme.

Apple a corrigé le bogue, permettant aux applications d’exécuter du code arbitraire avec les privilèges du noyau, en améliorant la gestion de la mémoire dans iOS 14.7.1, iPadOS 14.7.1 et macOS Big Sur 11.5.1.

La liste des appareils concernés comprend les Mac, iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération).

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré la société dans des avis de sécurité publiés plus tôt dans la journée.

Alors qu’Apple a révélé qu’au moins un rapport mentionnait une exploitation active de CVE-2021-30807 dans la nature, la société n’a divulgué aucune information supplémentaire concernant ces attaques.

La rétention de ces informations est probablement une mesure conçue pour permettre aux mises à jour de sécurité publiées récemment d’atteindre autant d’iPhone, d’iPad et de Mac que possible avant que d’autres pirates informatiques ne saisissent les détails et commencent à exploiter activement la faille zero-day désormais corrigée.

Une longue liste de failles zero-days corrigées par Apple cette année

Depuis le début de l’année 2021, Apple a publié des mises à jour de sécurité pour faire face à ce qui ressemble à une vague sans fin de vulnérabilités zero-day, dont beaucoup sont identifiées par la société comme exploitées à l’état sauvage:

Le mois dernier, Amnesty International et Forbidden Stories ont également révélé avoir trouvé des logiciels espions fabriqués par le fournisseur de surveillance israélien NSO Group déployés sur des iPhones exécutant la dernière version d’iOS, probablement piratés à l’aide d’exploits zero-day d’iMessage.

Project Zero a également récemment révélé qu’un groupe de pirates informatiques a utilisé 11 failles zero-days dans des attaques ciblant les utilisateurs de Windows, iOS et Android en une seule année.

Laisser un commentaire