Logiciels malveillants

iOS 14.4 intègre 3 correctifs contre des vulnérabilités jour zéro

Dans un document de soutien technique, Apple décrit le contenu lié à la sécurité des mises à jour de iOS 14.4 et iPadOS 14.4, disponibles aujourd’hui.

Elles corrigent trois vulnérabilités jour zéro, c’est-à-dire des vulnérabilités sans solution de secours connue jusqu’ici, affectant iPhones 6s et plus récents, iPads Air 2 et plus récents, iPad mini 4 et plus récents, iPod Touch de 7e génération, et qui ont pu être activement exploitées par des pirates.

Elles ont toutes trois été découvertes par un chercheur anonyme. Apple ne détaille pas s’il aura droit à une rémunération dans le cadre de ses programmes de chasse aux bogues.

Noyau

La première vulnérabilité se trouve dans le noyau.

Il s’agit d’une situation de compétition (une situation caractérisée par un résultat différent selon l’ordre dans lequel agissent les acteurs du système, ce qui ne devrait pas se produire).

Une application malicieuse peut en tirer parti pour obtenir des privilèges plus élevés.

Apple l’a désactivée avec des verrous informatiques (qui permettent de s’assurer qu’une seule personne, ou un seul processus accède à une ressource à un instant donné) améliorés.

Sa référence est CVE-2021-1782.

WebKit

Les deux autres vulnérabilités affectent WebKit : ce sont deux erreurs de logique qui permettent à un attaquant distant d’exécuter un code arbitraire.

Elles sont corrigées avec des « restrictions améliorées. »

Leurs références sont CVE-2021-1870 et CVE-2021-1871.

Des informations complémentaires seront disponibles plus tard.

Divulgation

Apple rappelle sa philosophie : l’entreprise ne dévoile les problèmes de sécurité qu’à partir du moment où une enquête a eu lieu et des correctifs ou des nouvelles versions sont disponibles, afin de protéger leurs clients.

Toutefois, dans le cas des vulnérabilités jour zéro ou des vulnérabilités activement exploitées, les clients sont souvent mieux protégés en étant informé au plus tôt, notamment quand il existe des solutions de limitation de préjudices.