Apple a récemment publié des correctifs de sécurité pour iOS, iPadOS, watchos, et macOS, remédier aux vulnérabilités signalées par le Project Zero de Google. Selon les avis de sécurité de l'entreprise, trois des failles ont été signalées par Project Zero et sont exploitées dans la nature.
Ces failles sont un bug d'exécution de code à distance (CVE-2020-27930), une fuite de mémoire du noyau (CVE-2020-27950), et une élévation des privilèges du noyau (CVE-2020-27932). Les propriétaires d'appareils Apple doivent mettre à jour leur logiciel dès que possible. Il convient également de noter que "Apple ne divulgue pas, discuter, ou confirmez les problèmes de sécurité jusqu'à ce qu'une enquête ait eu lieu et que des correctifs ou des versions soient généralement disponibles. »
CVE-2020-27930
Cette vulnérabilité critique est présente dans macOS jusqu'à la version 10.15.7. La faille affecte un traitement inconnu du composant FontParser. Selon la base de données de vulnérabilité, sa manipulation peut entraîner une corruption de la mémoire. En outre, la faille est simple à exploiter et peut être exploitée à distance.
CVE-2020-27950
Il s'agit d'une vulnérabilité de noyau problématique dans Apple iOS et iPadOS jusqu'à 14.1, ce qui peut conduire à la divulgation d'informations. Ce que l'on sait jusqu'à présent, c'est que l'exploitation de la faille semble être facile, et ça devrait arriver localement. Une authentification unique est requise pour l'attaque. La vulnérabilité peut également aider une application malveillante à exécuter du code arbitraire avec les droits du noyau.
CVE-2020-27932
Cette vulnérabilité du noyau semble affecter Apple iOS et iPadOS jusqu'à 14.1, ainsi que Apple watchOS jusqu'à 5.3.8/6.2.8/7.0.3. On sait peu de choses sur la faille, et son impact est encore inconnu.
Cependant, les chercheurs en sécurité avertissent que ces failles peuvent être enchaînées pour détourner les appareils des utilisateurs. Les utilisateurs peuvent être incités à effectuer une action spécifique, comme ouvrir un document, message, ou page Web qui charge une police malveillante. Cela pourrait alors conduire à l'exécution de code avec les privilèges du noyau.
Des mises à jour correspondantes ont été publiées dans iOS 14.2 et iPadOS 14.2, watchos 7.1, macOS 10.15.7, et tvOS 14.2. La société a également publié iOS 12.4.9 pour les modèles d'iPhone obsolètes qui ne sont plus pris en charge, retour sur iPhone 5. Pour plus d'information, tu peux lire Bulletins officiels d'Apple.
En Avril de cette année, rapport du chercheur en sécurité Bhavuk Jain une vulnérabilité zero-day dans la fonction Se connecter avec Apple qui a affecté les applications tierces, l'utiliser sans mettre en œuvre ses propres mesures de sécurité.
Selon Jain, le jour zéro d'Apple «aurait pu aboutir à une prise de contrôle complète des comptes d'utilisateurs sur cette application tierce, que la victime ait ou non un identifiant Apple valide».
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: