31.1.21

 

Trois patches Apple contre des menaces zéro‑day exploitées

La société émet des mises à jour d'urgence pour corriger les bogues affectant des appareils allant des iPhones aux montres Apple.

 


Amer Owaida

Apple a mis à jour ses systèmes d’exploitation iOS et iPadOS pour corriger trois failles de sécurité de type zéro-day qui sont activement exploitées dans la nature. Le trio de failles concerne différentes versions d’iPhones et d’iPads et la dernière génération d’iPod touch.

« Apple a connaissance d’un rapport selon lequel ce problème aurait été activement exploité », précise l’alerte de sécurité d’Apple, qui décrit chaque faille de sécurité qui est résolue avec la sortie de la version 14.4 d’iOS et d’iPadOS.

La liste des appareils concernés comprend les iPhone 6 et plus, les iPad Air 2 et plus, les iPad mini 4 et plus et la 7e génération d’iPod touch. Le titan de la technologie basé à Cupertino a également publié des mises à jour de sécurité pour l’une des vulnérabilités sur une série de ses autres offres, y compris Apple Watch (watchOS 7.3) et Apple TVs (tvOS 14.4).

Comme d’habitude, on ne sait rien des auteurs et des cibles de ces attaques zéro-day, qui exploitent les failles du noyau du système d’exploitation et du moteur de navigation WebKit.

La première faille, identifiée CVE-2021-1782 et située dans le noyau du système d’exploitation, est un bogue de condition de course qui pourrait conduire à une escalade des privilèges, qui pourrait être exploitée par un attaquant utilisant une application malveillante. En clair, cela signifie qu’un attaquant pourrait utiliser l’application pour obtenir des privilèges supplémentaires dans le système d’exploitation de l’appareil, ce qui lui permettrait de faire toutes sortes de dégâts.

Pendant ce temps, les deux autres failles de sécurité, indexées comme CVE-2021-1871 et CVE-2021-1870, résident dans le composant WebKit, le moteur de navigation web open-source d’Apple utilisé par le navigateur Safari, Mail, et diverses autres applications iOS et iPadOS. Selon la description du bogue, il provient d’un « problème de logique » qui pourrait être exploité par un attaquant distant et lui permettre d’exécuter du code arbitraire. Selon Vulmon, le duo de failles pourrait être exploité « en persuadant une victime de visiter un site web spécialement conçu ».

Au-delà des trois zéros jours, qui ont tous été mis au jour par des chercheurs anonymes, Apple a également publié des correctifs de sécurité pour les failles affectant ses produits Xcode et iCloud pour Windows.

L’équipe d’intervention d’urgence informatique de Hong Kong (HKCERT) a émis une alerte classant les vulnérabilités comme « à risque extrêmement élevé » et invitant les utilisateurs des appareils Apple concernés à appliquer les mises à jour immédiatement. Si vous n’avez pas activé les mises à jour automatiques, vous pouvez mettre à jour vos appareils manuellement en allant dans le menu Paramètres, puis en appuyant sur Général et en allant dans la section Mise à jour du logiciel.

Apple a précédemment détruit trois autres vulnérabilités zéro-days qui étaient activement exploités dans la nature en novembre de l’année dernière.