Apple a patché 3 failles de sécurité zero-day

0

Apple continue de faire de son mieux en matière de sécurité en corrigeant des vulnérabilités zero-day, publiant cette semaine une mise à jour d’urgence pour en patcher trois plus récemment découvertes dans iOS après une mise à jour logicielle majeure en Novembre qui en a déjà corrigé trois qui étaient activement exploitées.

Les failles récemment corrigées font partie d’une mise à jour de sécurité déployée pour iOS 14.4 et iPadOS 14.4. Une faille, identifiée comme CVE-2021-1782, a été détectée dans le noyau du système d’exploitation, tandis que les deux autres – CVE-2021-1870 et CVE-2021-1871 – ont été découverts dans le moteur de navigateur WebKit.

Les vulnérabilités les plus récentes n’étaient apparemment pas connues lorsque Apple a déployé iOS 14.2 et iPadOS 14.2, une mise à jour complète qui corrigeait un total de 24 vulnérabilités en Novembre. Cette mise à jour incluait des correctifs pour trois failles zero-day découvertes par l’équipe de Google Project Zero qui étaient activement exploitées dans la nature.

apple

Les pirates informatiques pourraient également profiter activement des derniers bugs, selon Apple. La société a décrit la faille du noyau comme «une condition de concurrence» que la mise à jour corrige «avec un verrouillage amélioré». Si elle est exploitée, la vulnérabilité peut permettre à une application malveillante d’élever ses privilèges.

Les vulnérabilités de WebKit sont deux problèmes logiques que la mise à jour corrige avec des restrictions améliorées, selon Apple. Exploiter ces failles permettrait à un attaquant distant «de provoquer l’exécution de code arbitraire», a déclaré la société.

Tous les zero-day et donc les correctifs affectent l’iPhone 6s et les versions ultérieures, l’iPad Air 2 et les versions ultérieures, l’iPad mini 4 et les versions ultérieures et l’iPod touch (7e génération), selon Apple. Les experts en sécurité pensent que les trois font partie d’une chaîne d’exploit que les attaquants peuvent utiliser pour augmenter les privilèges et compromettre un appareil après que son utilisateur ait été victime d’un site Web malveillant exploitant la faille WebKit.

Comme d’habitude, cependant, Apple n’est pas entré dans les détails sur la façon dont les vulnérabilités sont utilisées dans les attaques, car il ne révèle généralement pas ce type d’informations tant que la plupart des appareils concernés ne sont pas corrigés.

apple

La prolifération des iPhones à travers le monde fait de l’actualité de tout Apple iOS zero-day une menace pour la sécurité de ses centaines de millions d’utilisateurs, et donc un très gros problème. En fait, quatre groupes de menaces persistantes avancées (APT) soutenues par un État-nation ont utilisé un exploit zero-day de l’iPhone dans un espionnage très médiatisé contre des journalistes, producteurs, présentateurs et dirigeants d’Al Jazeera à la fin de l’année dernière.

Comme on pouvait s’y attendre, de nombreux utilisateurs d’iPhone, professionnels de la technologie et experts en sécurité se sont tournés vers Twitter alors que la nouvelle de la dernière vague de zero-day d’iOS se répandait pour recommander aux utilisateurs d’iPhone de mettre à jour leurs appareils immédiatement.

«Les notes de version iOS sont toujours réconfortantes lorsque vous avez des premières comme celle-ci», a tweeté Daniel Sinclair, un utilisateur d’iPhone. «3 zero-day activement exploités dans la nature. 2 impliquant WebKit. »

Sinclair a également tweeté plus tôt dans le mois que son iPhone était «inexplicablement devenu briqué», bien qu’il ne soit pas clair si ce problème était lié au zero-day récemment découvert.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.