Apple révèle deux vulnérabilités du jour zéro pour iOS qui permettent aux attaquants d’accéder à des appareils entièrement corrigés

Apple révèle deux vulnérabilités du jour zéro pour iOS qui permettent aux attaquants d'accéder à des appareils entièrement corrigés

Apple mobile iOS. Crédit: Unsplash

Une semaine après qu’Apple ait effectué sa plus grande mise à jour iOS et iPad depuis la version 14.0 de septembre 2020, la société a suivi un nouveau correctif pour deux vulnérabilités zero-day qui permettent aux pirates d’exécuter du code malveillant sur des appareils entièrement mis à jour. De plus, la nouvelle version de 14.5.1 atténue également les problèmes liés à un bogue dans la récente fonctionnalité de transparence du suivi des applications incluse dans la version précédente.

Ces deux vulnérabilités se trouvent dans le moteur de navigateur Webkit, qui fournit du contenu Web pour l’App Store, Mail et Safari, ainsi que d’autres applications fonctionnant sous iOS, Linux et macOS. Apple a décrit cette attaque comme le traitement de contenu Web conçu de manière malveillante entraînant l’exécution de code arbitraire. À partir de maintenant, ces deux jours zéro ont été corrigés.

Jusqu’à présent, Apple a publié un avis indiquant que ces vulnérabilités ont peut-être déjà été exploitées. La société a également annoncé que le deuxième zero-day a été découvert par la société chinoise de recherche en sécurité Qihoo 360, alors qu’une source anonyme a signalé la première vulnérabilité. Pour le moment, Apple n’a pas encore fourni de détails sur les auteurs des exploits ou les personnes exposées à un risque d’exploitation.

L’équipe de recherche sur les vulnérabilités Project Zero de Google a évalué que ces trois nouvelles vulnérabilités représentent le nombre total de sept zéro jours d’Apple activement exploités. En fait, sur 22 jours zéro découverts rien qu’en 2021, près de 33% ont ciblé le système d’exploitation mobile Apple. Cela fait d’iOS le logiciel le plus ciblé par zero-day après Chrome.

Depuis que ces vulnérabilités ont été corrigées, Facebook a rencontré un problème en raison des nouvelles restrictions de sécurité ne permettant pas à l’application Facebook de suivre l’activité des utilisateurs sur d’autres applications installées sans autorisation explicite de l’utilisateur. En outre, un autre bogue peut provoquer un grisonnement du bouton bascule Transparence du suivi des applications dans le menu des paramètres, même après la mise à jour vers iOS 14.5.1.

Dans l’ensemble, les équipes de recherche sur la sécurité et la vulnérabilité d’Apple soulignent que ces types de jours zéro constituent une telle menace pour les défenseurs et les utilisateurs en raison du manque de connaissances sur leur présence. Après tout, si les pirates parviennent à exécuter du code malveillant ou à accéder à un système privilégié avant que les intervenants et les chercheurs ne se rendent compte que les vulnérabilités en question existent, les attaquants peuvent voler une pléthore de données, causant des dommages potentiellement incommensurables.

En plus des correctifs pour les vulnérabilités découvertes, Apple a également confirmé un correctif pour le bogue de la fonctionnalité App Tracking Transparency. Ce correctif permettra aux utilisateurs de désactiver à nouveau le suivi des publicités sur leurs appareils Apple.


Apple demande une mise à niveau de sécurité pour les iPhones et iPads


© Réseau Science X 2021

Citation: Apple révèle deux vulnérabilités iOS zero-day qui permettent aux attaquants d’accéder à des appareils entièrement corrigés (2021, 4 mai) récupéré le 4 mai 2021 sur https://techxplore.com/news/2021-05-apple-reveals-ios-zero- day-vulnéraabilities.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.