Mise À Jour De Sécurité Apple Ios

Apple a publié jeudi plusieurs mises à jour de sécurité pour corriger trois vulnérabilités zero-day révélées comme étant activement exploitées dans la nature.

Déployé dans le cadre de ses mises à jour iOS, iPadOS, macOS et watchOS, les failles résident dans le composant FontParser et le noyau, permettant aux adversaires d’exécuter à distance du code arbitraire et d’exécuter des programmes malveillants avec des privilèges au niveau du noyau.

Les jours zéro ont été découverts et signalés à Apple par l’équipe de sécurité Project Zero de Google.

« Apple est au courant des rapports selon lesquels un exploit pour ce problème existe dans la nature », a déclaré le fabricant d’iPhone à propos des trois jours zéro sans donner de détails supplémentaires afin de permettre à une grande majorité d’utilisateurs d’installer les mises à jour.

La liste de appareils concernés comprend l’iPhone 6s et les versions ultérieures, l’iPod touch de 7e génération, l’iPad Air 2 et les versions ultérieures, l’iPad mini quatre et les versions ultérieures et l’Apple Watch Series 1 et les versions ultérieures.

Publicité

Les correctifs sont disponibles dans les versions iOS 12.4.9 et 14.2, iPadOS 14.2, watchOS 5.3.9, 6.2.9 et 7.1, et en tant que mise à jour supplémentaire pour macOS Catalina 10.15.7.

Selon Apple bulletin de sécurité, les défauts sont:

  • CVE-2020-27930: Un problème de corruption de la mémoire dans la bibliothèque FontParser qui permet l’exécution de code à distance lors du traitement d’une police construite de manière malveillante.
  • CVE-2020-27932: Un problème d’initialisation de la mémoire qui permet à une application malveillante d’exécuter du code arbitraire avec les privilèges du noyau.
  • CVE-2020-27950: Un problème de confusion de type qui permet à une application malveillante de divulguer la mémoire du noyau.

« Exploitation ciblée dans la nature similaire aux autres 0days récemment signalés », m’a dit Shane Huntley, directeur du groupe d’analyse des menaces de Google. « Non lié à un ciblage électoral. »

La divulgation est la dernière de la chaîne de zéro-jour que Project Zero a signalée depuis le 20 octobre. Il y a d’abord eu la bibliothèque de rendu de polices Chrome zero-day dans Freetype (CVE-2020-15999), puis une version zéro de Windows (CVE-2020) -17087), suivi de deux autres dans Chrome et sa variante Android (CVE-2020-16009 et CVE-2020-16010).

Un correctif pour Windows zero-day devrait être publié le 10 novembre dans le cadre du Patch Tuesday de ce mois-ci.

Bien que plus de détails soient attendus sur la question de savoir si les jours zéro ont été abusés par le même acteur de la menace, il est recommandé aux utilisateurs de mettre à jour leurs appareils avec les dernières versions pour atténuer le risque associé aux failles.

Rate this post
Publicité
Article précédentSony confirme que l’extension de stockage SSD de la PS5 sera désactivée au lancement
Article suivantDans le torrent des mensonges, Trump affirme que l’élection est volée
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici