Apple publie des correctifs pour d’anciennes versions logicielles vulnérables

by admin
Apple publie des correctifs pour d'anciennes versions logicielles vulnérables

Apple a publié des mises à jour de sécurité pour trois vulnérabilités activement exploitées dans macOS Catalina et iOS 12.5.5.

publicité

Première vulnérabilité : CVE-2021-30869

CVE-2021-30869 est une vulnérabilité XNU qui permet à des applications malveillantes d’exécuter du code arbitraire avec les privilèges du noyau. Elle est présente dans macOS, mais aussi sur l’iPhone 5s, l’iPhone 6, l’iPhone 6 Plus, l’iPad Air, l’iPad mini 2, l’iPad mini 3 et l’iPod touch.

Apple indique que des enquêtes font état de l’existence d’une exploitation de cette vulnérabilité, et qu’elle a été corrigée « avec une gestion améliorée de l’état ». La firme de Cupertino précise qu’elle a été découverte par Erye Hernandez et Clément Lecigne, membres du groupe d’analyse des menaces de Google, le TAG,, ainsi que par Ian Beer, du projet Zero de Google.

Deuxième vulnérabilité : CVE-2021-30860

CVE-2021-30860 a été découverte par Citizen Lab et pourrait être connectée au logiciel espion de NSO Group, Pegasus, qui a été utilisé pour pénétrer dans des appareils Apple. La vulnérabilité affecte les iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, et iPod touch (6e génération).

L’indignation a été grande lorsque Citizen Lab a publié plusieurs rapports cette année montrant comment le logiciel espion de NSO Group, Pegasus, a donné à certains Etats-nations et cybercriminels un accès complet à des appareils Apple. La vulnérabilité CVE-2021-30860, telle que décrite par Citizen Lab dans son dernier rapport, concerne la manière dont les acteurs de la menace pourraient utiliser le traitement d’un PDF malveillant pour exécuter un code arbitraire.

Apple a admis dans le communiqué qu’elle a été activement exploitée, précisant qu’elle a été traitée « avec une validation améliorée des entrées ».

Troisième vulnérabilité : CVE-2021-30858

La troisième vulnérabilité – CVE-2021-30858 – affecte les mêmes appareils que les deux premières. Elle a été soumise anonymement. Apple explique que cette vulnérabilité touche à la façon dont le traitement de contenu web malicieusement conçu peut conduire à une exécution de code arbitraire.

Comme pour les autres, Apple a révélé être consciente que cette vulnérabilité pouvait avoir été activement exploitée.

Apple indique avoir résolu le problème par une « meilleure gestion de la mémoire ».

Source : ZDNet.com

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading