Trois vulnérabilités frappant les systèmes d'exploitation iOS et iPadOS ont été détectées. Il est conseillé de procéder le plus rapidement possible à la mise à jour de son appareil Apple, pour lever les doutes.
Après avoir déjà corrigé trois vulnérabilités zero-day exploitées par des individus malveillants en novembre dernier, Apple a une nouvelle fois été mise au parfum par des chercheurs en sécurité anonymes. La firme de Cupertino a mis à jour, ces dernières heures, ses systèmes d'exploitation iOS et iPadOS, afin de corriger non pas une, ni deux, mais trois nouvelles failles de sécurité de type zero-day.
De nombreux appareils Apple touchés
Ces trois vulnérabilités zero-day, décrites comme activement exploitées, touchent potentiellement pléthore d'appareils de la galaxie Apple. ESET France et son expert en cybersécurité Benoît Grunemwald, qui nous ont fait parvenir l'information ce lundi matin, nous indiquent que la liste des appareils concernés comprend « les iPhone 6 et plus, les iPad Air 2 et plus, les iPad mini 4 et plus et la 7e génération d’iPod touch ».
Si on ne sait rien des attaques ni des cibles de ces attaques zero-day, on dispose déjà de certaines informations plus précises sur les fameuses failles. La première, qui répond à l'identifiant CVE-2021-1782, se situe dans le noyau du système d'exploitation. Elle consiste en un bogue de condition de course qui peut octroyer des privilèges à un pirate informatique, qui pourrait alors s'en servir pour lancer une application malveillante et faire de sérieux dégâts.
Les deux autres vulnérabilités, identifiées CVE-2021-1871 et CVE-2021-1870, ont été dénichées dans le moteur de navigation web open-source d'Apple, WebKit, propulsé sur le navigateur Safari et l'outil Mail mais aussi sur d'autres applications iOS et iPadOS. Elles permettraient à un cybercriminel d'exécuter du code arbitraire à distance.
Les correctifs publiés, à installer au plus vite !
Apple a ainsi publié des correctifs, rapidement après la découverte de ces failles zero-day. Nous vous conseillons ainsi de mettre à jour vos appareils iOS et iPadOS avec la version 14.4. Par extension, le géant américain a, par précaution, publié des mises à jour pour ses Apple Watch et Apple TVs, respectivement avec les versions watchOS 7.3 et tvOS 14.4, que nous vous conseillons également de télécharger.
À côté de ces mises à jour, Apple a aussi publié des correctifs de sécurité pour des failles qui touchaient ses produits Xcode (outil de programmation qui permet la création d'applications pour des produits Apple), et iCloud, le service de Cloud computing de la firme de Cupertino.
Une faille zero-day, c'est quoi ?
Une vulnérabilité zero-day consiste en une faille pour laquelle aucun correctif n'a encore été publié. Son effet de surprise permet aux hackers d'en profiter avant que les entreprises concernées ou les chercheurs en sécurité s'aperçoivent de la vulnérabilité.