Aujourd’hui, Apple a publié des mises à jour de sécurité qui corrigent deux vulnérabilités iOS zero-day activement exploitées dans le moteur Webkit utilisé par les pirates pour attaquer les iPhones, iPads, iPods, macOS et Apple Watch.

« Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré la société dans plusieurs avis de sécurité publiés aujourd’hui.

Webkit est le moteur de rendu de navigateur d’Apple qui doit être utilisé par tous les navigateurs Web mobiles dans iOS et d’autres applications qui rendent du HTML, telles que Apple Mail et l’App Store.

Ces vulnérabilités sont suivies comme CVE-2021-30665 et CVE-2021-30663, et toutes deux permettent l’exécution arbitraire de code à distance (RCE) sur des appareils vulnérables simplement en visitant un site Web malveillant.

Les vulnérabilités RCE sont considérées comme les plus dangereuses car elles permettent aux attaquants de cibler des périphériques vulnérables et d’exécuter des commandes sur eux à distance.

CVE-2021-30665 a été découvert par Yang Kang, zerokeeper et Bian Liang de Qihoo 360 ATA, tandis que CVE-2021-30663 a été signalé à Apple par un chercheur qui souhaite rester anonyme.

La liste des appareils concernés comprend:

  • iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
  • macOS Big Sur
  • Apple Watch Series 3 et versions ultérieures

Les jours zéro ont été abordés par Apple plus tôt dans la journée dans les mises à jour iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1 et watchOS 7.4.1.

iOS 14.5.1
Mise à jour iOS 14.5.1

Cette mise à jour a également résolu un bogue qui empêchait les utilisateurs de voir les invites de transparence du suivi des applications dans les applications.

«Cette mise à jour corrige un problème lié à la transparence du suivi des applications où certains utilisateurs qui avaient précédemment désactivé Autoriser les applications à demander le suivi dans les paramètres peuvent ne pas recevoir les invites des applications après sa réactivation», a déclaré Apple dans ses notes de version iOS 14.5.1.

Apple a été confronté à un flux de vulnérabilités zero-day activement exploitées …

Voir la source de cette publication