Apple a publié lundi une mise à niveau majeure de ses systèmes d’exploitation mobiles phares iOS et iPadOS pour corriger une poignée de vulnérabilités de sécurité graves.

La version iOS 14.3 et iPadOS 14.3 couvrira 11 failles de sécurité documentées, certaines suffisamment graves pour exposer les iPhones et iPads à des attaques d’exécution de code.

Le plus grave des bogues pourrait permettre aux pirates de lancer du code nuisible sur les iPhones et iPads via un fichier de police malveillant. Apple a corrigé deux problèmes de corruption de mémoire distincts dans la manière dont les entrées validées dans certains fichiers de polices et a averti qu’un exploit réussi « peut conduire à l’exécution de code arbitraire ».

Les deux défauts d’analyse des polices – CVE-2020-27943 et CVE-2020-27944 – ont été découverts et signalés par Mateusz Jurczyk de Google Project Zero.

Apple a également documenté trois failles de sécurité distinctes dans ImageIO, le cadre d’interface de programmation qui permet aux applications de lire et d’écrire la plupart des formats de fichiers image. Apple a déclaré avoir amélioré la validation des entrées pour corriger les bogues ImageIO, qui permettent l’exécution de code via des images piégées.

Les correctifs iOS et iPadOS couvrent également une erreur de logique dans l’App Store qui peut provoquer l’affichage d’une invite d’installation d’application d’entreprise dans le mauvais domaine; et un correctif pour un problème CoreAudio qui pourrait provoquer l’exécution de code via des fichiers audio conçus de manière malveillante.

Mots clés: