Apple a publié cette semaine des correctifs pour corriger de nombreuses vulnérabilités de ses produits, notamment cinq problèmes d’exécution de code arbitraire affectant les composants audio utilisés par ses systèmes d’exploitation.

Il a été constaté que les cinq bogues affectaient macOS Catalina, quatre d’entre eux ayant également un impact sur iOS et iPadOS, tvOS et watchOS.

Les deux premiers défauts sont CVE-2020-9884 et CVE-2020-9889, deux problèmes d’écriture hors limites, tandis que les trois autres, à savoir CVE-2020-9888, CVE-2020-9890 et CVE-2020- 9891, sont des défauts de lecture hors limites.

Toutes les vulnérabilités pourraient être exploitées en fournissant un fichier audio conçu de manière malveillante pour finalement exécuter du code arbitraire sur les systèmes affectés.

Au total, 19 problèmes ont été corrigés dans macOS, y compris des vulnérabilités dans Clang, CoreAudio, CoreFoundation, Crash Reporter, Graphics Drivers, Heimdal, ImageIO, Kernel, Mail, Messages, Model I / O, Security, Vim et Wi-Fi.

Ceux-ci peuvent conduire à l’exécution de code arbitraire, à une fuite d’informations sensibles, à une fuite de sandbox, à l’injection de données dans des connexions actives au sein d’un tunnel VPN, à un déni de service, à une interruption d’application inattendue, à une interruption du système ou à une mémoire du noyau corrompue.

iOS 13.6 et iPadOS 13.6 corrigent un total de 29 vulnérabilités, y compris la plupart de celles corrigées dans macOS. Les plates-formes incluent également des correctifs pour les bogues dans Bluetooth, GeoServices, iAP, Kernel, Safari Login AutoFill, Safari Reader, WebKit, WebKit Page Loading, WebKit Web Inspector et Wi-Fi.

Ceux-ci peuvent entraîner l’exécution de code, le contournement de l’atténuation, le déni de service, l’arrêt de l’application, le contournement de la politique de même origine, la prévention de l’application de la politique de sécurité du contenu, le contournement de l’authentification du pointeur ou l’injection de commande.

La mise à jour est désormais disponible pour iPhone 6s et versions ultérieures, iPad Air 2 et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch 7e génération.

tvOS 13.4.8 a été publié cette semaine avec des correctifs pour 20 de ces vulnérabilités, …

Voir la source de cette publication