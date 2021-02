Trois patches Apple contre des menaces zéro day

février 2021 par Benoit Grunemwald Expert en Cyber sécurité, ESET France

Apple a mis à jour ses systèmes d’exploitation iOS et iPadOS pour corriger trois failles de sécurité de type zéro-day qui sont activement exploitées. Le trio de failles concerne différentes versions d’iPhones et d’iPads et la dernière génération d’iPod touch.

« Apple a connaissance d’un rapport selon lequel ce problème aurait été activement exploité », précise l’alerte de sécurité d’Apple, qui décrit chaque faille de sécurité qui est résolue avec la sortie de la version 14.4 d’iOS et d’iPadOS.

Chaque appareil, connecté ou non comporte des vulnérabilités. C’est un fait, et c’est pour cela que les mise à jour sont primordiales. Aujourd’hui, demain, nos réfrigérateurs, nos téléviseurs connectés, nos aspirateurs, tout comme nos ordinateurs et smartphone requièrent des mises à jour régulières. En plus d’apporter de nouvelles fonctions, la mise à jour corrige les failles découvertes dans nos appareils.

La liste des appareils concernés comprend les iPhone 6 et plus, les iPad Air 2 et plus, les iPad mini 4 et plus et la 7e génération d’iPod touch. Le géant de la technologie basé à Cupertino a également publié des mises à jour de sécurité pour l’une des vulnérabilités sur une série de ses autres appareils, y compris Apple Watch (watchOS 7.3) et Apple TVs (tvOS 14.4).

Comme d’habitude, on ne sait rien des auteurs et des cibles de ces attaques zéro-day, qui exploitent les failles du noyau du système d’exploitation et du moteur de navigation WebKit.

La première faille, identifiée CVE-2021-1782 et située dans le noyau du système d’exploitation, est un bogue de condition de course qui pourrait conduire à une escalade des privilèges, qui pourrait être exploitée par un attaquant utilisant une application malveillante. En clair, cela signifie qu’un attaquant pourrait utiliser l’application pour obtenir des privilèges supplémentaires dans le système d’exploitation de l’appareil, ce qui lui permettrait de faire toutes sortes de dégâts.

Pendant ce temps, les deux autres failles de sécurité, indexées comme CVE-2021-1871 et CVE-2021-1870, résident dans le composant WebKit, le moteur de navigation web open-source d’Apple utilisé par le navigateur Safari, Mail, et diverses autres applications iOS et iPadOS. Selon la description du bogue, il provient d’un « problème de logique » qui pourrait être exploité par un attaquant distant et lui permettre d’exécuter du code arbitraire. Selon Vulmon, le duo de failles pourrait être exploité « en persuadant une victime de visiter un site web spécialement conçu ».

Au-delà des trois zéros jours, qui ont tous été mis au jour par des chercheurs anonymes, Apple a également publié des correctifs de sécurité pour les failles affectant ses produits Xcode et iCloud pour Windows.

L’équipe d’intervention d’urgence informatique de Hong Kong (HKCERT) a émis une alerte classant les vulnérabilités comme « à risque extrêmement élevé » et invitant les utilisateurs des appareils Apple concernés à appliquer les mises à jour immédiatement. Si vous n’avez pas activé les mises à jour automatiques, vous pouvez mettre à jour vos appareils manuellement en allant dans le menu Paramètres, puis en appuyant sur Général et en allant dans la section Mise à jour du logiciel.

Apple a précédemment corrigé trois autres vulnérabilités zéro-days qui étaient activement exploités dans la nature en novembre de l’année dernière.