Apple a publié des mises à jour pour trois failles zero-day exploitées à l'état sauvage.
CVE-2021-30869, CVE-2021-30860, CVE-2021-30858
La première faille zero-day activement exploitée, CVE-2021-30869, a été corrigé dans les mises à jour pour macOS Catalina et iOS 12.
Selon l'avis officiel, "une application malveillante peut être capable d'exécuter du code arbitraire avec les privilèges du noyau." L'entreprise est au courant des exploits qui peuvent exploiter la vulnérabilité dans la nature. Les détails techniques sont rares, mais le patch est obligatoire.
La mise à jour s'applique à l'iPhone 5s, iPhone 6, iPhone 6 Plus, ipad air, ipad mini 2, ipad mini 3, et iPod touch (6ème génération). Pour réparer la faille, un problème de confusion de type a été résolu avec une meilleure gestion des états, Pomme expliqué.
Deux autres vulnérabilités ont également été corrigées - un problème de débordement d'entier, connu sous le nom de CVE-2021-30860 et divulgué par The Citizen Lab. « Le traitement d'un PDF conçu de manière malveillante peut entraîner l'exécution de code arbitraire. Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité,» La compagnie a fait remarquer.
CVE-2021-30858, une utilisation après vulnérabilité gratuite, a été signalé par un chercheur anonyme.
Plus tôt cette semaine, une vulnérabilité zero-day dans macOS affectant Big Sur et les versions antérieures ont été divulguées au public.
Le bogue réside dans le système macOS Finder et pourrait permettre à un attaquant distant d'inciter les utilisateurs à exécuter des commandes arbitraires. Apparemment, il n'y a toujours pas de patch pour le problème, qui a été découvert par le chercheur indépendant en sécurité Park Minchan et signalé au programme SSD Secure Disclosure.