Posté le janvier 28, 2021 à 16:34
APPLE AVERTIT QUE LES HACKERS PEUVENT AVOIR EXPLOITÉ TROIS VULNÉRABILITÉS DE IOS
Apple a publié une autre mise à jour de vulnérabilité, car le géant de la technologie avertit que des hackers pourraient avoir exploité trois nouvelles vulnérabilités qu’il a découvertes. Bien qu’Apple ait publié des correctifs pour les failles, la société a averti les utilisateurs de mettre à jour leurs appareils iOS dès que possible pour éviter d’être exploités.
Lorsqu’elle a été contactée par la presse, Apple n’était pas facilement disponible pour répondre aux questions, mais a publié une déclaration sur son blog pour confirmer la vulnérabilité et a conseillé les utilisateurs d’iOS sur ce qu’il faut faire.
La société a également déclaré qu’en raison de ses politiques, elle ne divulgue pas la vulnérabilité au public tant qu’une « enquête n’a pas eu lieu ».
Les utilisateurs doivent protéger la sécurité de leurs iPhones et iPads en appliquant les mises à jour de la version 14.4 de l’iOS, qui a déjà été déployée par l’entreprise.
Les utilisateurs qui souhaitent appliquer la mise à jour peuvent trouver les nouvelles mises à jour logicielles disponibles sur leur téléphone, dans l’application de paramétrage, sous la section « General ».
Deux vulnérabilités sont découvertes dans Webkit
Selon le billet de blog d’Apple, deux des vulnérabilités ont été constatés dans Webkit, un moteur de navigation open-source utilisé par le navigateur web Safari. Les deux vulnérabilités pourraient permettre aux hackers d’exécuter à distance un code arbitraire, selon Apple.
L’autre vulnérabilité a été découverte dans Kernel, qui fait partie du réseau de logiciels d’exploitation d’Apple. Les vulnérabilités affectent les utilisateurs de l’iPad Air 2 ou supérieur, et des modèles iPhone 6s et supérieurs.
Apple a été alerté de ces vulnérabilités par des chercheurs anonymes.
Le logiciel iOS 14 a été déployé par Apple en septembre de l’année dernière, avec quelques nouvelles fonctionnalités comme des options permettant de sélectionner un navigateur web différent et des widgets pour l’écran d’accueil.
Avant la mise à jour, le navigateur web Safari était le navigateur par défaut des téléphones, mais les options supplémentaires donnaient aux utilisateurs le choix d’utiliser un autre navigateur web lorsqu’ils naviguaient sur le net.
Apple a apporté d’autres modifications, notamment à la façon dont les utilisateurs voient leurs appels entrants. Avant ce changement, les appels entrants couvraient tout l’écran du téléphone, bloquant les activités de l’utilisateur jusqu’à ce que le téléphone cesse de sonner. Cependant, les appels apparaissent désormais sous forme de barre, ce qui est plus pratique pour les utilisateurs.
Les correctifs pour les vulnérabilités sont sortis
Apple a déclaré avoir déjà publié une mise à jour pour les vulnérabilités zero-day qui ont été exploitées au grand jour.
La vulnérabilité du noyau iOS est connue comme une vulnérabilité en condition de course qui permet à un acteur malveillant de planter son code d’attaque sur le système.
Les deux zero days ont été appelés « problème logique », qui peut permettre à des attaquants distants d’exécuter leurs codes malveillants dans les navigateurs Safari des utilisateurs.
Selon les chercheurs en sécurité, les trois vulnérabilités font partie d’une chaîne d’exploitation qui piège les utilisateurs vers une adresse malveillante tirant parti de la vulnérabilité du WebKit. Les acteurs malveillants peuvent exécuter le code initial, qui peut ensuite être étendu à d’autres privilèges qui exécutent le code au niveau du système et infiltrent l’application iOS.
Il n’y a pas eu longtemps qu’Apple a publié des mises à jour pour trois autres vulnérabilités. En septembre de l’année dernière, le géant technologique a corrigé trois séries de zéros jours après leur découverte par les équipes de sécurité de Google.
Un mois plus tard, Citizen Lab a annoncé une nouvelle série de zero days. La société de sécurité a signalé que certains acteurs malveillants exploitaient des séries de zéros jours qui leur permettaient d’accéder à certains serveurs.
Google avait déjà fourni des correctifs pour les vulnérabilités avant même qu’elles ne soient rendues publiques. Apple a rapidement publié la version iOS avec des fonctions de sécurité avancées.
Ces derniers temps, les cybercriminels ont intensifié leurs efforts pour rechercher et trouver des vulnérabilités inconnues de type zero-day, qui leur permettra d’avoir accès aux systèmes et aux serveurs. L’équipe de sécurité d’Apple a travaillé sérieusement pour s’assurer que les appareils iOS des gens sont sûrs.
Apple a demandé aux utilisateurs de toujours rechercher les nouvelles mises à jour de leurs appareils afin d’éviter d’être victime d’un problème lié à la vulnérabilité.
