Apple a publié lundi des mises à jour de sécurité pour iOS, macOS, et watchOS pour remédier à trois failles du jour zéro et étendre les correctifs pour une quatrième vulnérabilité qui, selon la société, pourrait avoir été exploitée dans la nature.

auditeur de mot de passe

Les faiblesses concernent toutes WebKit, le moteur de navigateur qui alimente Safari et tous les navigateurs Web tiers sous iOS, permettant à un adversaire d’exécuter du code arbitraire sur les appareils cibles. Voici un résumé des trois bogues de sécurité:

  • CVE-2021-30663: Une vulnérabilité de débordement d’entier qui pourrait être exploitée pour créer du contenu Web malveillant, ce qui peut conduire à l’exécution de code. La faille a été corrigée par une meilleure validation des entrées.
  • CVE-2021-30665: Un problème de corruption de la mémoire qui pourrait être exploité pour créer du contenu Web malveillant, ce qui peut entraîner l’exécution de code. La faille a été corrigée par une meilleure gestion de l’État.
  • CVE-2021-30666: Une vulnérabilité de dépassement de mémoire tampon qui pourrait être exploitée pour créer du contenu Web malveillant, ce qui peut conduire à l’exécution de code. La faille a été corrigée par une meilleure gestion de la mémoire.

Le développement intervient une semaine après le déploiement par Apple d’iOS 14.5 et de macOS Big Sur 11.3 avec un correctif pour une vulnérabilité de stockage WebKit potentiellement exploitée. Suivi comme CVE-2021-30661, le problème d’utilisation après la libération a été découvert et signalé au fabricant d’iPhone par un chercheur en sécurité nommé yangkang (@dnpushme) de Qihoo 360 ATA.

yangkang, ainsi que zerokeeper et bianliang, ont été crédités d’avoir signalé les trois nouvelles failles.

Il convient de noter que CVE-2021-30666 n’affecte que les anciens appareils Apple tels que l’iPhone 5s, l’iPhone 6, l’iPhone 6 Plus, l’iPad Air, l’iPad mini 2, l’iPad mini 3 et l’iPod touch (6e génération). le iOS 12.5.3 update, qui corrige cette faille, inclut également un correctif pour CVE-2021-30661.

La société a déclaré être au courant des informations selon lesquelles les problèmes “pourraient avoir été activement exploités” mais, comme c’est généralement le cas, n’a pas précisé la nature des attaques, les victimes qui auraient pu être ciblées ou les acteurs de la menace qui pourraient abuser. eux.

Il est recommandé aux utilisateurs d’appareils Apple de mettre à jour vers les dernières versions pour atténuer le risque associé aux failles.



Leave a Reply