Apple patch 2 failles d’iOS utilisées dans des attaques

Apple a publié des mises à jour de sécurité qui corrigent deux vulnérabilités d’iOS activement exploitées dans le moteur Webkit par des pirates qui attaquent les iPhones, iPads, iPods, macOS et appareils Apple Watch.

« Apple est au courant d’un rapport que ce problème peut avoir été activement exploité », a déclaré la société dans de multiples avis de sécurité publiés récemment.

Webkit est le moteur de rendu du navigateur d’Apple qui doit être utilisé par tous les navigateurs Web mobiles dans iOS et d’autres applications qui traitent du code HTML, comme Apple Mail et l’App Store.

Ces vulnérabilités sont identifiées comme CVE-2021-30665 et CVE-2021-30663, et permettent toutes deux l’exécution arbitraire de code à distance sur les appareils vulnérables simplement en visitant un site Web malveillant.

Les vulnérabilités d’exécution de code à distance sont considérées comme les plus dangereuses car elles permettent aux attaquants de cibler des périphériques vulnérables et d’exécuter des commandes à distance.

CVE-2021-30665 a été découvert par Yang Kang, zerokeeper, et Bian Liang de Qihoo 360 ATA, tandis que CVE-2021-30663 a été signalé à Apple par un chercheur qui souhaite rester anonyme.

La liste des appareils concernés inclut:

  • iPhone 6s et versions plus récentes, iPad Pro (tout les modèles), iPad Air 2 et versions plus récentes, iPad 5ème génération et plus récent, iPad mini 4 and later et plus récent, et iPod touch (7ème génération)
  • macOS Big Sur
  • Apple Watch Series 3 et plus récent

Les failles zero-day ont été abordés par Apple récemment dans les mises à jour d’iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, et watchOS 7.4.1.

iOS 14.5.1

Cette mise à jour a également résolu une vulnérabilité qui empêchait les utilisateurs de voir les fenêtres de transparence de suivi des applications.

« Cette mise à jour corrige un problème avec App Tracking Transparency lorsque certains utilisateurs qui ont précédemment désactivé Allow Apps to Request to Track in Settings peuvent ne pas recevoir d’invites d’applications après l’avoir réactivée », a déclaré Apple dans ses notes de version d’iOS 14.5.1.

Apple a été aux prises avec un flux de vulnérabilités activement exploitées au cours des derniers mois, avec un correctif dans macOS le mois dernier et de nombreuses autres vulnérabilités d’iOS corrigées durant les mois précédents.

Vous pourriez aussi aimer
Laisser un commentaire