Apple publie un correctif urgent pour 3 vulnérabilités Zero-day exploitées à l'état sauvage

La réputation de l'iPhone en tant que plate-forme sécurisée a pris une autre raclée après qu'Apple a été contraint de publier un autre correctif pour 3 exploits zero-day connus pour être utilisés par des pirates dans la nature.

On pense qu'au moins l'un d'entre eux était utilisé par les gouvernements pour espionner les travailleurs humanitaires, mettant potentiellement leur vie en danger.

Les correctifs concernent les iPhones et les Mac exécutant des versions antérieures d'iOS et de macOS.

"Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité", a noté Apple dans ses avis (1, 2).

La liste complète des appareils concernés comprend :

iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération) exécutant iOS 12.5.5 et Mac avec la mise à jour de sécurité 2021-006 Catalina.

Les correctifs sont pour CVE-2021-30860 (dans le framework CoreGraphics), CVE-2021-30858 (dans le moteur de navigateur WebKit) et CVE-2021-30869 (dans le noyau du système d'exploitation XNU), et l'exploitation réussie de l'un des ces bogues conduisent à l'exécution de code arbitraire, y compris potentiellement avec les privilèges du noyau.

Il y a eu un grand nombre d'exploits ciblant iOS récemment, certains disant qu'en raison du code daté de Safari, de la nature d'iMessage et de l'impossibilité d'installer des applications anti-malware, la plate-forme est impossible à sécuriser.

via BleepingComputer