Trois patches Apple contre des menaces zéro‑day exploitées
La société émet des mises à
jour d'urgence pour corriger les bogues affectant des appareils allant des
iPhones aux montres Apple.
Apple a mis à jour ses
systèmes d’exploitation iOS et iPadOS pour corriger trois failles de sécurité
de type zéro-day qui sont activement exploitées dans la nature. Le trio de
failles concerne différentes versions d’iPhones et d’iPads et la dernière
génération d’iPod touch.
« Apple a connaissance
d’un rapport selon lequel ce problème aurait été activement exploité »,
précise l’alerte de sécurité d’Apple,
qui décrit chaque faille de sécurité qui est résolue avec la sortie de la
version 14.4 d’iOS et d’iPadOS.
La liste des appareils
concernés comprend les iPhone 6 et plus, les iPad Air 2 et plus, les iPad mini
4 et plus et la 7e génération d’iPod touch. Le titan de la technologie basé à
Cupertino a également publié des mises à jour de sécurité pour l’une des
vulnérabilités sur une série de ses autres offres, y compris Apple Watch (watchOS
7.3) et Apple TVs (tvOS
14.4).
Comme d’habitude, on ne sait
rien des auteurs et des cibles de ces attaques zéro-day, qui exploitent les
failles du noyau du système d’exploitation et du moteur de navigation WebKit.
La première faille,
identifiée CVE-2021-1782 et
située dans le noyau du système d’exploitation, est un bogue de condition de
course qui pourrait conduire à une escalade des privilèges, qui pourrait être
exploitée par un attaquant utilisant une application malveillante. En clair,
cela signifie qu’un attaquant pourrait utiliser l’application pour obtenir des
privilèges supplémentaires dans le système d’exploitation de l’appareil, ce qui
lui permettrait de faire toutes sortes de dégâts.
Pendant ce temps, les deux
autres failles de sécurité, indexées comme CVE-2021-1871 et CVE-2021-1870,
résident dans le composant WebKit, le moteur de navigation web open-source
d’Apple utilisé par le navigateur Safari, Mail, et diverses autres applications
iOS et iPadOS. Selon la description du bogue, il provient d’un « problème
de logique » qui pourrait être exploité par un attaquant distant et lui
permettre d’exécuter du code arbitraire. Selon Vulmon, le duo de failles pourrait
être exploité « en persuadant une victime de visiter un site web
spécialement conçu ».
Au-delà des trois zéros jours,
qui ont tous été mis au jour par des chercheurs anonymes, Apple a également
publié des correctifs de sécurité pour les failles affectant ses produits Xcode et iCloud
pour Windows.
L’équipe d’intervention d’urgence informatique de Hong
Kong (HKCERT) a émis une alerte classant les
vulnérabilités comme « à risque extrêmement élevé » et invitant les
utilisateurs des appareils Apple concernés à appliquer les mises à jour
immédiatement. Si vous n’avez pas activé les mises à jour automatiques, vous
pouvez mettre à jour vos appareils manuellement en allant dans le menu
Paramètres, puis en appuyant sur Général et en allant dans la section Mise à
jour du logiciel.
Apple a précédemment détruit trois autres vulnérabilités zéro-days qui
étaient activement exploités dans la nature en novembre de l’année dernière.