Quelques semaines à peine après la publication de correctifs hors bande pour iOS, iPadOS, macOS et watchOS, Apple a publié une autre mise à jour de sécurité pour iPhone, iPad et Apple Watch pour corriger une faiblesse critique du jour zéro qui, selon elle, est activement exploitée dans le sauvage.

Suivi comme CVE-2021-1879, la vulnérabilité concerne une faille WebKit qui pourrait permettre à des adversaires de traiter du contenu Web conçu de manière malveillante qui pourrait entraîner des attaques de script intersites universelles.

“Ce problème a été résolu par une meilleure gestion de la durée de vie des objets”, a noté le fabricant d’iPhone.

Apple a crédité Clement Lecigne et Billy Leonard du groupe d’analyse des menaces de Google pour avoir découvert et signalé le problème. Bien que les détails de la faille n’aient pas été divulgués, la société a déclaré avoir connaissance d’informations selon lesquelles CVE-2021-1879 aurait pu être activement exploitée.

Des mises à jour sont disponibles pour les appareils suivants:

  • iOS 12.5.2 – Téléphone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération)
  • iOS 14.4.2 – iPhone 6s et versions ultérieures et iPod touch (7e génération)
  • iPadOS 14.4.2 – iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures
  • watchOS 7.3.3 – Apple Watch Series 3 et versions ultérieures

La dernière version arrive dans la foulée d’un correctif pour une faille WebKit distincte (CVE-2021-1844) qu’Apple a expédiée plus tôt ce mois-ci. En janvier 2021, la société a résolu trois vulnérabilités zero-day (CVE-2021-1782, CVE-2021-1870 et CVE-2021-1871) qui permettaient à un attaquant d’élever ses privilèges et d’exécuter du code à distance.

Fait intéressant, Apple semble également expérimenter des moyens de fournir des mises à jour de sécurité sur iOS d’une manière indépendante des autres mises à jour du système d’exploitation. iOS 14.4.2 ressemble certainement au type de mise à jour qui pourrait bénéficier de cette fonctionnalité.

En attendant, il est conseillé aux utilisateurs d’appareils Apple d’installer les mises à jour dès que possible pour atténuer le risque associé à la faille.



Leave a Reply