Apple publie un patch pour une faille zero day dans iOS, iPadOS et macOS

La vulnérabilité fait l'objet d'une exploitation active par des attaquants inconnus et affecte un large éventail de produits d'Apple.

La vulnérabilité fait l’objet d’une exploitation active par des attaquants inconnus et affecte un large éventail de produits d’Apple.

Apple a publié une mise à jour pour ses systèmes d’exploitation iOS, iPadOS et macOS afin de corriger une faille de sécurité de type zero-day qui fait l’objet d’une exploitation active dans la nature. La vulnérabilité affecte un large éventail de ses produits, notamment le iPod touch et divers modèles d’iPhone et d’iPad.

« Apple a conscience que cette faille de sécurité a pu être exploitée. », précise l’avis de sécurité d’Apple décrivant la faille de sécurité qui est en train d’être comblée avec la mise en ligne d’iOS 14.7.1 et d’iPadOS 14.7.1.

La liste des appareils touchés comprend l’iPhone 6s et les versions ultérieures, toutes les versions de l’iPad Pro, l’iPad Air 2 et les versions ultérieures, la 5e génération d’iPad et les versions ultérieures, l’iPad mini 4 et les versions ultérieures, et la 7e génération de l’iPod touch. La même faille de sécurité affecte également le système d’exploitation macOS, de sorte que le titan technologique basé à Cupertino a également publié une mise à jour de sécurité pour macOS (Big Sur 11.5.1) afin de résoudre le problème. Comme c’est généralement le cas, rien n’a été dit sur les auteurs et les cibles de ces attaques de type zero-day.

Indexée sous le nom de CVE-2021-30807, la vulnérabilité réside dans le IOMobileFrameBuffer, une extension du noyau utilisée pour gérer le framebuffer de l’écran, et est décrite comme un problème de corruption de mémoire.

Selon CyberSecurityHelp, la vulnérabilité pourrait permettre à une application locale d’élever les privilèges sur les systèmes affectés. « La vulnérabilité existe en raison d’une limite dans le sous-système IOMobileFrameBuffer. Une application locale peut déclencher une corruption de mémoire et exécuter un code arbitraire sur le système cible avec les privilèges du noyau », peut-on lire dans sa description de la faille de sécurité.

L’agence américaine Cybersecurity and Infrastructure Agency (CISA) a également pris note de la publication et a émis un avis de sécurité exhortant les utilisateurs et les administrateurs à appliquer les correctifs et à mettre à jour leurs appareils. « Apple a publié des mises à jour de sécurité pour corriger une vulnérabilité dans plusieurs produits. Un attaquant pourrait exploiter cette vulnérabilité pour prendre le contrôle d’un appareil affecté »,  déclare l’agence.

Vous seriez effectivement bien inspiré d’appliquer les mises à jour dès que possible. Si vous n’avez pas activé les mises à jour automatiques, vous pouvez mettre à jour votre iPhone et votre iPad manuellement en allant dans le menu Réglages, puis en appuyant sur Général, et en allant dans la section Mise à jour du logiciel. Pour mettre à jour manuellement vos appareils Mac, allez dans le menu Apple, cliquez sur À propos de ce Mac, puis cliquez sur le bouton Mise à jour logicielle.

Infolettre

Discussion