Apple révèle deux vulnérabilités zero-day pour iOS qui pourraient permettre aux attaquants d’accéder à des appareils entièrement corrigés


Apple révèle deux vulnérabilités zero-day pour iOS qui pourraient permettre aux attaquants d'accéder à des appareils entièrement corrigés

Mobile . Crédit: Unsplash

Une semaine après qu’Apple a déployé sa plus grande mise à jour iOS et iPad depuis la version 14.0 en septembre 2020, la société a publié un nouveau correctif pour deux zero-day permettent aux pirates d’exécuter du code malveillant sur des appareils mis à jour. En outre, la nouvelle version 14.5.1 corrige également des problèmes liés à un bogue dans la fonction de transparence de suivi des applications récemment incluse dans la version précédente.

Ces deux vulnérabilités se trouvent dans le Browser Engine Webkit, qui fournit du contenu Web pour l’App Store, Mail et Safari, ainsi que d’autres applications diverses pour iOS, Linux et macOS. Apple a décrit cette attaque comme un traitement de contenu Web malveillant qui a abouti à l’exécution de code arbitraire. À partir de maintenant, ces deux jours zéro ont été corrigés.

Jusqu’à présent, Apple a publié un avis indiquant que ces vulnérabilités ont peut-être déjà été exploitées. La société a également annoncé que la société chinoise de recherche en sécurité Qihoo 360 avait découvert le deuxième jour zéro, tandis qu’une source anonyme a signalé la première vulnérabilité. Pour l’instant, Apple n’a pas encore fourni de détails sur qui exécute les exploits ou qui risque d’être exploité.

L’équipe du projet Google Project Zero Vulnerability Project a déterminé que ces trois nouvelles vulnérabilités représentent le total de sept Apple Zero-Days activement utilisés. Sur les 22 jours zéro découverts rien qu’en 2021, près de 33% ciblaient le système d’exploitation mobile d’Apple. Cela fait d’iOS le logiciel zero-day le plus ciblé après Chrome.

Depuis que ces vulnérabilités ont été corrigées, en raison des nouvelles restrictions de sécurité, Facebook a corrigé certains problèmes qui empêchent l’application Facebook de suivre l’activité des utilisateurs dans d’autres applications installées sans autorisation explicite de l’utilisateur. De plus, un autre bogue peut entraîner le basculement de la transparence du suivi des applications dans le menu des paramètres, même après la mise à niveau des utilisateurs vers iOS 14.5.1.

Dans l’ensemble, les équipes de recherche sur la sécurité et la vulnérabilité d’Apple soulignent que ce type de zéro jour constitue une telle menace pour les défenseurs et les utilisateurs en raison du manque de connaissance de leur présence. Si des pirates parviennent à exécuter du code malveillant ou à accéder à un système privilégié avant que les services d’urgence et les chercheurs ne se rendent compte que les vulnérabilités en question existent, les attaquants peuvent voler une grande quantité de données et potentiellement causer des dommages incommensurables.

En plus des correctifs pour les failles de sécurité découvertes, Apple a également confirmé un correctif pour le bogue dans la fonction de transparence de suivi des applications. Ce correctif permet aux utilisateurs de désactiver à nouveau le suivi des publicités sur leurs appareils Apple.


Apple fait pression pour une mise à niveau de sécurité sur les iPhones et les iPads


© Réseau Science X 2021

Citation: Apple révèle deux vulnérabilités de sécurité zero-day pour iOS qui permettent aux attaquants d’accéder à des appareils entièrement corrigés (2021, 4 mai), publiées le 4 mai 2021 sur https://techxplore.com/news/2021-05- apple-révèle -ios-zero- ont été récupérés Day-Vulnerabilities.html

Ce document est soumis au droit d’auteur. Sauf pour le commerce équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans autorisation écrite. Le contenu est fourni à titre informatif uniquement.

Laisser un commentaire