Vulnérabilités de sécurité iOS Zero-Day

Apple a publié mardi des mises à jour pour iOS, iPadOS et tvOS avec des correctifs pour trois vulnérabilités de sécurité qui, selon elle, pourraient avoir été activement exploitées dans la nature.

Rapporté par un chercheur anonyme, les trois zéro jour défauts – CVE-2021-1782, CVE-2021-1870 et CVE-2021-1871 – auraient pu permettre à un attaquant d’élever ses privilèges et d’exécuter du code à distance.

Le fabricant d’iPhone n’a pas révélé l’étendue de l’attaque ni révélé l’identité des attaquants qui les exploitaient activement.

auditeur de mot de passe

Alors que le bogue d’escalade de privilèges dans le noyau (CVE-2021-1782) a été noté comme une condition de concurrence pouvant amener une application malveillante à élever ses privilèges, les deux autres lacunes – appelées «problème de logique» – ont été découvertes dans le navigateur WebKit moteur (CVE-2021-1870 et CVE-2021-1871), permettant à un attaquant d’exécuter du code arbitraire dans Safari.

Apple a déclaré que la condition de concurrence et les failles de WebKit avaient été corrigées avec un verrouillage et des restrictions améliorés, respectivement.

S’il est peu probable que les détails exacts de l’exploit exploitant les failles soient rendus publics tant que les correctifs n’auront pas été largement appliqués, il ne serait pas surprenant qu’ils soient enchaînés pour mener des attaques de points d’eau contre des cibles potentielles.

Une telle attaque impliquerait de livrer le code malveillant simplement en visitant un site Web compromis qui profite ensuite des vulnérabilités susmentionnées pour augmenter ses privilèges et exécuter des commandes arbitraires pour prendre le contrôle de l’appareil.

Les mises à jour sont désormais disponibles pour l’iPhone 6s et les versions ultérieures, l’iPad Air 2 et les versions ultérieures, l’iPad mini 4 et les versions ultérieures et l’iPod touch (7e génération), ainsi que l’Apple TV 4K et l’Apple TV HD.

La nouvelle du dernier jour zéro survient après que la société a résolu trois vulnérabilités activement exploitées en novembre 2020 et un bug distinct du jour zéro dans iOS 13.5.1 qui a été révélé comme utilisé dans une campagne de cyberespionnage ciblant les journalistes d’Al Jazeera l’année dernière.



Leave a Reply