Apple dit qu'iOS 14.8 corrige l'attaque de l'iPhone qui a vaincu les protections Blastdoor

le 14/09/2021 09:43

Apple dit qu'iOS 14.8 corrige l'attaque de l'iPhone qui a vaincu les protections Blastdoor

Apple a publié un document de support complet détaillant what&s nouveau dans iOS 14.8, watchOS 7.6.2, iPadOS 14.8 et macOS Big Sur 11.6. Apple dit que les mises à jour traitent des vulnérabilités de sécurité qui “peuvent avoir été activement exploitées dans la nature.

Mise à jour: Citizen Lab a publié un nouveau rapport aujourd'hui avec plus de détails sur les vulnérabilités. L'essentiel? Mettez à jour tous vos appareils DÈS que possible.Dans un communiqué, Ivan Krstić, responsable de l'ingénierie et de l'architecture de sécurité d'Apple, a déclaré:

“Après avoir identifié la vulnérabilité utilisée par cet exploit pour iMessage, Apple a rapidement développé et déployé un correctif dans iOS 14.8 pour protéger nos utilisateurs. Nous tenons à féliciter Citizen Lab pour avoir réussi le travail très difficile d'obtenir un échantillon de cet exploit afin que nous puissions développer ce correctif rapidement. Les attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de conservation et sont utilisées pour cibler des individus spécifiques. Bien que cela signifie qu'ils ne constituent pas une menace pour l'écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données.”

La vulnérabilité rapportée par Le Citizen Lab aurait été utilisée pour cibler des activistes bahreïnis dont les iPhones ont été piratés avec succès avec le logiciel espion Pegasus de NSO Group.

    La nouvelle attaque iPhone Pegasus zero-click bat les protections Blastdoor d'AppleDans undocument de support publié aujourd'hui, Apple décrit la vulnérabilité et son correctif:

CoreGraphics

Disponible pour: iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures, et iPod touch (7e génération)

Impact: Le traitement d'un PDF malicieusement conçu peut entraîner une exécution de code arbitraire. Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité. Description: Un débordement d'entier a été traité avec une validation d'entrée améliorée.

CVE-2021-30860: Le Citizen Lab

Il existe également un correctif pour une vulnérabilité WebKit:

WebKit

Disponible pour: iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures, et iPod touch (7e génération

Impact: Le traitement de contenu Web conçu de manière malveillante peut conduire à une exécution de code arbitraire. Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité. Description: Un problème d'utilisation après la gratuité a été résolu avec une meilleure gestion de la mémoire. CVE-2021-30858: un chercheur anonyme

Vous trouverez tous les détails sur les mises à jour de sécurité d&aujourd' hui aux liens suivants:

    Mise à jour de sécurité 2021-005 CatalinamacOS Big Sur 11.6
  • watchOS 7.6.2 iOS 14.8 et iPadOS 14.8

Sur le même sujet