Une vulnérabilité zero-day dans iOS, iPadOS, et macOS vient d'être corrigé avec une mise à jour de sécurité urgente. Apple a déclaré que le zero-day avait peut-être été exploité.
CVE-2021-30807 Zero-Day exploité dans la nature
Connu sous le nom de CVE-2021-30807, la faille est un problème de corruption de mémoire situé dans le composant IOMobileFrameBuffer, une extension de noyau qui gère le framebuffer d'écran qui existe à la fois dans iOS et macOS. Peu dit, le bug zero-day pourrait être abusé pour exécuter du code arbitraire avec les privilèges du noyau. Le problème a été résolu en fonction de la plate-forme de l'appareil spécifique.
Apple a publié trois mises à jour, iOS 14.7., iPadOS 14.7.1 et macOS Big Sur 11.5.1 pour patcher la vulnérabilité sur chacune des plateformes lundi.
Selon Base de données des vulnérabilités, "une vulnérabilité a été trouvée dans Apple iOS et iPadOS." Classé comme critique, la faille pourrait provoquer une corruption de la mémoire, et en termes d'impact, cela pourrait affecter la confidentialité, intégrité, et la disponibilité.
En raison de la faille, une application peut être capable d'exécuter du code arbitraire avec les privilèges du noyau. Apple n'a publié aucune description technique détaillée, limiter la possibilité d'une militarisation du zero-day. En outre, il y a des indications que CVE-2021-30807 peut avoir été utilisé dans des attaques dans la nature. Il s'agit également du 13e problème zero-fay qu'Apple a résolu jusqu'à présent dans 2021.
Les zero-days précédents incluent CVE-2021-1782, CVE-2021-1870, et CVE-2021-1871 dans iOS et iPadOS; CVE-2021-30657 dans macOS qui a été exploité par le malware Shlayer; CVE-2021-30737, CVE-2021-30761, CVE-2021-30762 dans iOS.
Apparemment, il existe un code d'exploit de preuve de concept disponible dans la nature, il est donc fortement conseillé d'appliquer le correctif urgent contre CVE-2021-30807.