Apple a récemment corrigé trois vulnérabilités zero-day dans iOS, iPadOS.
CVE-2021-1782, CVE-2021-1870, et CVE-2021-1871 pourraient permettre aux acteurs de la menace d'effectuer des attaques d'escalade de privilèges et d'exécution de code à distance. La société affirme que les vulnérabilités ont probablement été exploitées dans la nature, sans préciser les attaques’ Le degré.
En savoir plus sur les trois zéro jours Apple
Les trois vulnérabilités ont été signalées par un chercheur anonyme. Voyons ce que nous en savons jusqu'à présent.
CVE-2021-1782
Il est à noter que cette vulnérabilité affecte le noyau des appareils Apple suivants: iPhone 6s et versions ultérieures, ipad air 2 et ensuite, ipad mini 4 et ensuite, et iPod touch (7ème génération). Description d'Apple dit ça “une condition de concurrence a été résolue avec un verrouillage amélioré.”
Si elle est exploitée, ce jour zéro pourrait permettre à une application malveillante d'élever les privilèges sur un appareil vulnérable, donc le patch est fortement recommandé.
CVE-2021-1870 et CVE-2021-1871
Ces deux bogues représentent un problème de logique qui a été résolu via des restrictions améliorées. Sont concernés les iPhone 6 et les versions ultérieures, ipad air 2 et ensuite, ipad mini 4 et ensuite, et iPod touch (7ème génération).
Ces bogues résidaient dans le moteur de navigateur WebKit et pourraient permettre à un attaquant d'exécuter du code arbitraire dans le navigateur Safari.
Les utilisateurs Apple devraient prendre le temps de réviser leurs appareils’ sécurité et voir si les correctifs sont appliqués.
L'année dernière, chercheurs en sécurité divulgués une faille de sécurité dans Safari pour iOS et Mac, qui s'est produit en raison du fait que Safari a conservé la barre d'adresse de l'URL lorsqu'elle est demandée sur un port arbitraire.”
Le problème était dû à l'utilisation d'un code JavaScript exécutable malveillant sur un site Web aléatoire. Le code a obligé le navigateur à mettre à jour l'adresse pendant que la page se charge vers une autre adresse choisie par les attaquants.
Les acteurs de la menace pourraient organiser une page Web malveillante et inciter la victime à ouvrir le lien envoyé dans un e-mail ou un SMS falsifié. Cette action entraînerait la victime potentielle d'un logiciel malveillant ou lui volerait ses informations d'identification.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: