Apple a déployé lundi une mise à jour de sécurité urgente pour iOS, iPadOS, et macOS pour corriger une faille zero-day qui, selon lui, pourrait avoir été activement exploitée, ce qui en fait la treizième vulnérabilité de ce type qu’Apple corrige depuis le début de cette année.
Les mises à jour, qui arrivent moins d’une semaine après que la société a publié iOS 14.7, iPadOS 14.7 et macOS Big Sur 11.5 au public, résolvent un problème de corruption de mémoire (CVE-2021-30807) dans le composant IOMobileFrameBuffer, une extension du noyau pour gérer l’écran tampon d’images, qui pourrait être abusé pour exécuter du code arbitraire avec les privilèges du noyau.
La société a déclaré avoir résolu le problème en améliorant la gestion de la mémoire, notant qu’elle était « au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité ». Comme c’est généralement le cas, des détails supplémentaires sur la faille n’ont pas été divulgués pour empêcher la militarisation de la vulnérabilité pour des attaques supplémentaires. Apple a crédité un chercheur anonyme pour avoir découvert et signalé la vulnérabilité.
Le moment de la mise à jour soulève également des questions quant à savoir si le zero-day avait été exploité par le groupe NSO. Logiciel Pégase, qui est devenu le centre d’une série de rapports d’enquête qui ont révélé comment l’outil logiciel espion a transformé les téléphones portables de journalistes, de militants des droits de l’homme et d’autres en appareils de surveillance portables, offrant un accès complet aux informations sensibles qui y sont stockées.
CVE-2021-30807 est également la treizième vulnérabilité zero-day corrigée par Apple cette année seulement, y compris –
- CVE-2021-1782 (Kernel) – Une application malveillante peut être capable d’élever des privilèges
- CVE-2021-1870 (WebKit) – Un attaquant distant peut provoquer l’exécution de code arbitraire
- CVE-2021-1871 (WebKit) – Un attaquant distant peut provoquer l’exécution de code arbitraire
- CVE-2021-1879 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut conduire à des scripts intersites universels
- CVE-2021-30657 (Préférences Système) – Une application malveillante peut contourner les vérifications du Gatekeeper
- CVE-2021-30661 (WebKit Storage) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30663 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30665 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30666 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30713 (cadre TCC) – Une application malveillante peut contourner les préférences de confidentialité
- CVE-2021-30761 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2021-30762 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
Compte tenu du disponibilité publique d’un exploit de preuve de concept (PoC), il est fortement recommandé aux utilisateurs d’agir rapidement pour mettre à jour leurs appareils vers la dernière version afin d’atténuer le risque associé à la faille.
