Une semaine seulement après avoir publié des mises à jour corrigeant près de 40 bogues, Apple a publié lundi des correctifs de sécurité pour des vulnérabilités jour zéro – des vulnérabilités informatiques n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu – pour ses systèmes d’exploitation iOS, iPadOS et macOS.
Les systèmes macOS Big Sur 11.5.1, et iOS et iPadOS 14.7.1 intègrent le correctif.
Cette vulnérabilité serait activement exploitée par des mécréants, il est donc impératif de mettre à jour ses appareils au plus vite.
Le bogue, découvert par un chercheur qui préfère rester anonyme, référencé CVE-2021-30807 et CERTFR-2021-AVI-576, par les bulletins de sécurité HT212622 et HT212623 d’Apple, se trouve dans le module IOMobileFrameBuffer.
Il provoque une corruption de la mémoire, dont on peut tirer parti pour lancer n’importe quel code, avec des accès au noyau.
Apple se contente d’affirmer que le bogue est corrigé avec une gestion améliorée de la mémoire.
On pourrait lui reprocher son contrôle qualité, puisque ce module a déjà fait l’objet de cinq vulnérabilités de sécurité depuis 2011.
Alors que les médias ayant œuvré à l’enquête sur le « Projet Pégasus » ont publié leurs conclusions il y a quelques jours, on peut se demander si cette vulnérabilité, n’est pas liée au logiciel de surveillance Pegasus de la firme israélienne NSO Group.
Saar Amar, un chercheur en cybersécurité, prétend qu’il a découvert cette vulnérabilité jour zéro il y a quatre mois, mais qu’il n’en a pas informé Apple, car il comptait écrire un rapport de bogue de haute qualité le mois prochain.