Les mises à jour publiées cette semaine par Apple pour ses systèmes d’exploitation macOS corrigent un total de 59 vulnérabilités, dont environ 30 qui pourraient conduire à l’exécution de code arbitraire.

Un attaquant capable d’exploiter le plus grave de ces problèmes exécuterait du code dans le contexte de l’application, avec les mêmes privilèges que l’utilisateur actuel. Certains des bogues, explique Apple dans son avis, pourraient être exploités pour exécuter du code avec des privilèges système ou noyau.

macOS Big Sur 11.1, mise à jour de sécurité 2020-001 pour Catalina et mise à jour de sécurité 2020-007 pour les failles d’adresse Mojave dans des composants tels que Audio, App Store, Bluetooth, CoreAudio, FontParser, pilotes graphiques, noyau, ImageIO, pilote graphique Intel, libxml2 , Ruby, WebRTC et Wi-Fi.

Les composants les plus affectés sont ImageIO (huit failles, six entraînant l’exécution de code arbitraire), FontParser (sept vulnérabilités, six conduisant à l’exécution de code arbitraire) et Kernel (sept bogues, trois permettant aux applications d’exécuter du code arbitraire avec privilèges du noyau).

Apple affirme que de nombreux problèmes ont été corrigés grâce à une meilleure validation des entrées. Une gestion améliorée de l’état, des vérifications et des vérifications de limites améliorées et d’autres améliorations similaires ont été utilisées pour corriger les défauts restants.

Cette semaine, Apple a également publié des mises à jour pour tvOS et watchOS, pour résoudre respectivement 9 et 10 vulnérabilités. Tout comme avec la sortie d’iOS 14.3 et d’iPadOS 14.3, ces mises à jour sont destinées à corriger les défauts d’exécution de code arbitraire, de divulgation de mémoire, de corruption de tas et de violation de politique d’authentification.

La société a également corrigé des vulnérabilités avec la sortie de macOS Server 5.11 (open redirect / cross-site scripting dans Profile Manager), Safari 14.0.2 (exécution de code arbitraire dans WebRTC), iOS 12.5 (violation de politique d’authentification dans Security) et watchOS 6.3 (violation de la politique d’authentification dans la sécurité).

Dans un avis, le …