Apple publie un correctif pour trois jours 0 d’iOS activement exploités trouvés par Google
Apple a récemment publié iOS 14.2 avec le correctif pour trois vulnérabilités zero day affectant plusieurs appareils IPhone, IPad et iPod.
La société a déclaré dans un avis de sécurité au moment où elle décrivait les trois failles; «Apple est au courant des rapports selon lesquels un exploit pour ce problème existe dans la nature».
Trois vulnérabilités Zero Day et leur cause:
- Vulnérabilité d’exécution de code à distance (CVE-2020-27930) – elle déclenche un problème de corruption de la mémoire, survient lors du traitement d’une police spécialement conçue par la bibliothèque FontParser.
- Fuite du noyau (CVE-2020-27950) – elle provoque un problème d’initialisation de la mémoire et permet à des applications malveillantes d’entrer dans la mémoire du noyau.
- Faille d’escalade des privilèges du noyau (CVE-2020-27932) – il s’agit d’un type de problème de confusion. Il permet aux logiciels malveillants d’exécuter du code arbitraire avec les privilèges du noyau.
Les appareils Apple concernés comprennent l’iPhone 6s et versions ultérieures, l’iPod touch de 7e génération, l’iPad Air 2 et les versions ultérieures et l’iPad mini 4 et les versions ultérieures. La liste comprend également les Mac exécutant des versions de MacOS Catalina antérieures à 10.15.7, les iPad dont la version iOS est antérieure à iOS 14.2, Apple Watch avant watchOS 7.1, watchOS 6.2.9, watchOS 5.3.9 et Apple TV avec les versions TVOS antérieures à tvOS 14.2.
L’équipe de chasse au quotidien de Project Zero Google a signalé à Apple le problème de sécurité. Les chercheurs y ont également divulgué ou corrigé quatre autres jours zéro au cours des deux dernières semaines. Deux d’entre eux incluent les failles Chrome zero-days CVE-2020-15999 dans la bibliothèque de rendu de texte FreeType et CVE-2020-16009 dans le moteur WebAssembly et JavaScript.
Le troisième était CVE-2020-16010 causé par un débordement de tampon de tas dans l’interface utilisateur Android. Il a été résolu avec le Chrome pour Android 86.0.4240.185, publié lundi.
Le projet zéro a également révélé une vulnérabilité d’élévation des privilèges (EoP). Le correctif pour ce jour zéro Windows devrait être fourni par Microsoft avec le correctif de ce mois-ci.