Apple a livré lundi des correctifs de sécurité hors bande pour corriger deux vulnérabilités zero-day dans iOS 12.5.3 qui, selon lui, sont activement exploitées dans la nature.
La dernière mise à jour, iOS 12.5.4, est livré avec trois correctifs de sécurité, dont un problème de corruption de mémoire dans le Décodeur ASN.1 (CVE-2021-30737) et deux failles concernant le moteur du navigateur WebKit qui pourraient être abusées pour réaliser l’exécution de code à distance —
- CVE-2021-30761 – Un problème de corruption de mémoire qui pourrait être exploité pour obtenir l’exécution de code arbitraire lors du traitement de contenu Web construit de manière malveillante. La faille a été corrigée avec une gestion améliorée de l’état.
- CVE-2021-30762 – Un problème d’utilisation après utilisation libre qui pourrait être exploité pour obtenir l’exécution de code arbitraire lors du traitement de contenu Web conçu de manière malveillante. La faille a été résolue grâce à une meilleure gestion de la mémoire.
CVE-2021-30761 et CVE-2021-30762 ont été signalés à Apple de manière anonyme, la société basée à Cupertino déclarant dans son avis qu’elle était au courant de rapports selon lesquels les vulnérabilités « pourraient avoir été activement exploitées ». Comme c’est généralement le cas, Apple n’a donné aucune précision sur la nature des attaques, les victimes qui ont pu être ciblées ou les acteurs de la menace qui peuvent en abuser.
Une chose évidente, cependant, est que les tentatives d’exploitation active étaient dirigées contre les propriétaires d’appareils plus anciens tels que l’iPhone 5s, l’iPhone 6, l’iPhone 6 Plus, l’iPad Air, l’iPad mini 2, l’iPad mini 3 et l’iPod touch (6e génération). Cette décision reflète un correctif similaire qu’Apple a déployé le 3 mai pour remédier à une vulnérabilité de dépassement de mémoire tampon (CVE-2021-30666) dans WebKit ciblant le même ensemble d’appareils.
En plus des deux failles susmentionnées, Apple a corrigé un total de 12 zero-day affectant iOS, iPadOS, macOS, tvOS et watchOS depuis le début de l’année —
- CVE-2021-1782 (Noyau) – Une application malveillante peut être en mesure d’élever les privilèges
- CVE-2021-1870 (WebKit) – Un attaquant distant peut provoquer l’exécution de code arbitraire
- CVE-2021-1871 (WebKit) – Un attaquant distant peut provoquer l’exécution de code arbitraire
- CVE-2021-1879 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut conduire à des scripts intersites universels
- CVE-2021-30657 (Préférences Système) – Une application malveillante peut contourner les vérifications du Gatekeeper
- CVE-2021-30661 (WebKit Storage) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30663 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30665 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30666 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30713 (cadre TCC) – Une application malveillante peut contourner les préférences de confidentialité
Il est recommandé aux utilisateurs d’appareils Apple de mettre à jour les dernières versions afin d’atténuer le risque associé aux vulnérabilités.
