Apple patch des vulnérabilités liées à d’anciens zero-day

Apple a corrigé trois vulnérabilités zero-day précédemment identifiées dans ses appareils iPhone, iPod et iPad, potentiellement liées à une série de failles récemment découvertes par l’équipe Google Project Zero qui affectent également Google Chrome et Windows.

Apple a déployé iOS 14.2 et iPadOS 14.2 au début du mois, ces versions corrigent un total de 24 vulnérabilités (dont 3 déjà exploitées dans la nature) dans divers composants des systèmes d’exploitation, y compris l’audio, le log de crash, le noyau et la fondation. Les notes de version sont disponibles sur la page d’assistance de l’entreprise.

Ben Hawkes de Google Project Zero a identifié les zero-day comme étant «CVE-2020-27930 (exécution de code à distance), CVE-2020-27950 (fuite de mémoire) et CVE-2020-27932 (élévation des privilèges du noyau)», a-t-il déclaré dans un tweet. Apple crédite également Project Zero pour avoir identifié ces failles spécifiques dans sa mise à jour de sécurité et fournit un peu plus de détails sur chacune.

apple

CVE-2020-27930 est une faille de corruption de la mémoire dans FontParser sur iPhone 6s et les versions ultérieures, iPod touch de 7e génération, iPad Air 2 et versions ultérieures, et iPad mini 4 et versions ultérieures, selon Apple. La vulnérabilité permet à un attaquant de traiter une «police malveillante» qui peut conduire à l’exécution de code arbitraire.

Apple a décrit CVE-2020-27950 comme un problème d’initialisation de la mémoire dans le noyau iOS qui affecte l’iPhone 6s et les versions ultérieures, l’iPod touch de 7e génération, l’iPad Air 2 et versions ultérieures et l’iPad mini 4 et versions ultérieures. La faille permettrait à une application malveillante de divulguer la mémoire du noyau, a déclaré la société.

CVE-2020-27932 est également une faille du noyau décrite comme «un type de problème de confusion» que la société «a résolu en améliorant la gestion des états». Les attaquants pourraient exploiter la faille – trouvée dans l’iPhone 6s et les versions ultérieures, l’iPod touch de 7e génération, l’iPad Air 2 et les versions ultérieures et l’iPad mini 4 et les versions ultérieures – en utilisant une application malveillante capable d’exécuter du code arbitraire avec les privilèges du noyau.

apple

La mise à jour d’Apple fait suite aux mises à jour de Google au cours des deux dernières semaines pour corriger un certain nombre de zero-day dans le navigateur Google Chrome sur Android et pour les versions de bureau.

En fait, Shane Huntley du groupe d’analyse des menaces de Google affirme que les failles zero-day d’Apple récemment corrigées sont liées à trois zero-day de Google Chrome et un zero-day de Windows également révélés au cours des deux dernières semaines, potentiellement dans le cadre de la même chaîne d’exploit.

«Une exploitation ciblée dans la nature similaire aux autres zero-day récemment signalés», a-t-il tweeté, ajoutant que les attaques «n’étaient liées à aucun ciblage d’élection».

Apple et Google: une relation mouvementée

Apple et Google ont un passé notoire en matière de découverte de vulnérabilités. Les chercheurs de Google Project Zero, en particulier, ont été habiles à trouver des failles dans les produits Apple, des découvertes qui sont parfois réfutées par l’entreprise.

L’année dernière, les deux géants de la technologie se sont chamaillés à propos de deux bugs zero-day dans l’iOS de l’iPhone après que les chercheurs de Google Project Zero aient affirmé que ces failles avaient été exploitées pendant des années. Les porte-paroles d’Apple ont démenti cela en insistant sur le fait qu’il n’y avait aucune preuve concernant une telle activité.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x