Apple corrige deux failles 0-day exploitées sur Webkit

La mise à jour 14.5 d’iOS, diffusée depuis le 26 avril, corrigeait déjà plus d’une cinquantaine de failles de sécurité, dont certaines activement exploitées.

Mais quelques jours à peine après la diffusion de ce patch, Apple publie une nouvelle mise à jour, estampillée 14.5.1, et indique que celle-ci embarque les correctifs pour deux failles 0-day découvertes dans WebKit, le moteur web utilisé sur les appareils de la marque à la pomme.

Des failles qui « pourraient avoir été activement exploitées »

Les deux failles se sont vues attribuer les identifiants CVE-2021-30665 et CVE-2021-30663. CVE-2021-30665 a été découverte par des chercheurs de Qihoo 360. Elle permet d’obtenir une exécution de code arbitraire via l’utilisation de pages web malveillantes. CVE-2021-30663 est une faille similaire, mais le chercheur a l’origine de sa découverte a souhaité rester anonyme. Les deux failles affectent Webkit, le moteur web utilisé par Safari et les autres applications Apple destinées à afficher ou utiliser des ressources web.

Dans les deux cas, Apple indique que ces failles « pourraient avoir été activement exploitées » par des attaquants et que les attaques permettent une exécution de code à distance. Apple ne donne en revanche aucune précision sur le cadre ou les attaques dans lesquelles ces failles pourraient avoir joué un rôle.

Celles-ci sont corrigées dans la mise à jour iOS 14.5.1, mais elles affectent également d’autres appareils Apple. Les correctifs pour ces deux failles sont donc disponibles dans les versions macOS Big Sur 11.3.1 et WatchOS 7.4.1. Pour les utilisateurs d’appareils Apple ne pouvant pas mettre à jour leur système d’exploitation vers les versions les plus récentes, la version 12.5.3 corrige également ces failles de sécurité.

Apple profite de cette mise à jour pour corriger au passage les quelques bugs identifiés dans la nouvelle fonctionnalité App Tracking Transparency.