Acceuil / Malwares / Vulnerabilités / Apple corrige 3 vulnérabilités qui ont été activement exploitées

Apple corrige 3 vulnérabilités qui ont été activement exploitées

admin-ouss novembre 9, 2020 Malwares / Vulnerabilités 2 commentaires 137 Nombre de vues

Apple a corrigé trois vulnérabilités dans iOS, iPadOS, macOS et watchOS qui ont été activement exploitées, affectant les appareils iPhone, iPad et iPod.

Les failles résident dans le composant FontParser et le noyau, permettant aux attaquants d’exécuter à distance du code arbitraire et d’exécuter des logiciels malveillants avec des privilèges au niveau du noyau.

La société a déclaré dans un rapport d’avis de sécurité décrivant les trois failles: Apple est au courant des rapports faisant état d’une exploitation de ce problème, sans donner de détails supplémentaires pour permettre à la grande majorité des utilisateurs d’installer des mises à jour.

La liste des appareils concernés comprend l’iPhone 5s et les versions ultérieures, les iPod touch 6e et 7e générations, l’iPad Air 2 et les versions ultérieures, l’iPad mini 2 et les versions ultérieures et l’Apple Watch Series 1 et les versions ultérieures.

Les vulnérabilités affectent les appareils Apple et d’autres systèmes, notamment:

Appareils Mac exécutant macOS Catalina avant macOS Catalina 10.15.7.
Les iPad exécutant des versions d’iPadOS antérieures à iOS 14.2.
Montres connectées Apple avec des versions de watchOS antérieures à watchOS 7.1, watchOS 6.2.9 et watchOS 5.3.9.
Apple TV avec des versions de tvOS antérieures à tvOS 14.2.
L’une des vulnérabilités est une erreur d’exécution de code à distance nommée CVE-2020-27930, qui est déclenchée par un problème de corruption de la mémoire lors du traitement d’une police générée de manière malveillante via la bibliothèque FontParser.

La deuxième vulnérabilité iOS est liée au problème d’une fuite de mémoire du noyau qui a été suivie comme (CVE-2020-27950), résultant d’un problème d’initialisation de la mémoire qui permet à des applications malveillantes d’accéder à la mémoire du noyau.

La troisième vulnérabilité (CVE-2020-27932) qui a été activement exploitée est une erreur d’escalade de privilèges du noyau causée par le problème de distorsion de type, qui permet aux applications malveillantes d’exécuter du code arbitraire en utilisant les privilèges du noyau.

L’équipe de recherche sur les bogues de Google Project Zero avait découvert les vulnérabilités et les avait signalées à l’équipe de sécurité d’Apple.

Shane Huntley, directeur du groupe d’analyse des menaces chez Google, a déclaré: L’exploitation ciblée des vulnérabilités est similaire à ce qui a été récemment rapporté et n’a rien à voir avec un ciblage électoral.

A propos de admin-ouss

Je suis un Ingénieur en Cybersecurité, passionné par les nouveautés dans le monde cybernétique. Je vous ramène à travers mes articles les nouveautés du monde de la sécurité informatique.

Consulter aussi cet article :

Les cyberattaques et malwares les plus spectaculaires de 2020 !

Rien n’était normal en 2020. Nos idées de travailler à partir de bureaux, de réunions …

2 Commentaire

  1. charly
    novembre 11, 2020 at 10:06

    Merci pour l’info

    Répondre
  2. Mauro
    novembre 11, 2020 at 10:11

    C’est pas la première fois

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

© Copyright 2021, All Rights Reserved