Les vulnérabilités, qui sont toutes utilisées abusivement pour des attaques ciblées, affectent une longue liste d’appareils
Quelques jours après Google a révélé un bogue activement exploité dans Windows et a découvert et éliminé deux bogues du jour zéro dans son navigateur Web Chrome, Apple a publié ses propres correctifs pour corriger trois vulnérabilités zero-day lors d’attaques actives. Le trio de failles, affectant une large gamme de produits Apple, a également été découvert par l’équipe de chasse aux insectes de la société appartenant à Alphabet.
«Apple est au courant des rapports selon lesquels un exploit pour ce problème existe dans la nature», lit-on dans la société bulletin de sécurité décrivant chacun des trois défauts. Ils sont corrigés avec un certain nombre d’autres bogues de sécurité dans le cadre de la publication de iOS et iPadOS 14.2.
La liste des appareils touchés par le zéro jour comprend l’iPhone 6s et les versions ultérieures, l’iPod touch de 7e génération, l’iPad Air 2 et les versions ultérieures et l’iPad mini 4 et les versions ultérieures.
Le géant de la technologie de Cupertino a également publié des mises à jour de sécurité pour les vulnérabilités de toute une gamme de ses autres produits, y compris l’Apple Watch avec watchOS 5.3.9, 6.2.9, et 7,1, une mise à jour supplémentaire pour ses produits Mac avec macOS Catalina 10.15.7, ainsi qu’un correctif pour les anciens appareils exécutant iOS 12.4.9.
Ben Hawkes, le responsable technique du Project Zero de Google, avait ceci à dire sur Twitter:
Apple a corrigé trois problèmes signalés par Project Zero qui étaient activement exploités dans la nature. CVE-2020-27930 (RCE), CVE-2020-27950 (fuite de mémoire) et CVE-2020-27932 (élévation des privilèges du noyau). Le bulletin de sécurité est disponible ici: https://t.co/4OIReajIp6
– Ben Hawkes (@benhawkes) 5 novembre 2020
Pendant ce temps, Shane Huntley du groupe d’analyse des menaces de Google tweeté que l’exploitation des vulnérabilités est ciblée et semble être liée aux jours zéro qui ont été découverts au cours du mois dernier.
La première vulnérabilité, localisée dans FontParser et suivie comme CVE-2020-27930, est une faille d’exécution de code à distance (RCE) qui pourrait être déclenchée par le traitement d’une police conçue de manière malveillante, permettant potentiellement à un attaquant de lancer une attaque à distance.
Pendant ce temps, le deuxième défaut, répertorié comme CVE-2020-27950, réside dans le noyau et est décrit comme une faille de fuite de mémoire du noyau. Un attaquant pourrait l’exploiter en créant une application malveillante pour divulguer la mémoire du noyau; selon VULDB, l’exploitation doit se faire localement et nécessite une authentification unique.
Le troisième bug du jour zéro, suivi comme CVE-2020-27932, est une vulnérabilité d’escalade de privilèges du noyau. «Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau», a averti Apple.
Equipes d’intervention d’urgence informatique (CERT) de Hong Kong et Singapour a émis des alertes exhortant les utilisateurs des appareils Apple concernés à appliquer les mises à jour immédiatement. Si les mises à jour automatiques ne sont pas activées, vous pouvez mettre à jour votre iPhone et votre iPad manuellement en allant dans le menu Paramètres, puis en appuyant sur Général et en allant dans la section Mise à jour logicielle.