Apple a corrigé trois vulnérabilités dans iOS, iPadOS, macOS et watchOS qui ont été activement exploitées, affectant les appareils iPhone, iPad et iPod.
Les failles résident dans le composant FontParser et le noyau, permettant aux attaquants d’exécuter à distance du code arbitraire et d’exécuter des logiciels malveillants avec des privilèges au niveau du noyau.
La société a déclaré dans un rapport d’avis de sécurité décrivant les trois failles: Apple est au courant des rapports faisant état d’une exploitation de ce problème, sans donner de détails supplémentaires pour permettre à la grande majorité des utilisateurs d’installer des mises à jour.
La liste des appareils concernés comprend l’iPhone 5s et les versions ultérieures, les iPod touch 6e et 7e générations, l’iPad Air 2 et les versions ultérieures, l’iPad mini 2 et les versions ultérieures et l’Apple Watch Series 1 et les versions ultérieures.
Les vulnérabilités affectent les appareils Apple et d’autres systèmes, notamment:
Appareils Mac exécutant macOS Catalina avant macOS Catalina 10.15.7.
Les iPad exécutant des versions d’iPadOS antérieures à iOS 14.2.
Montres connectées Apple avec des versions de watchOS antérieures à watchOS 7.1, watchOS 6.2.9 et watchOS 5.3.9.
Apple TV avec des versions de tvOS antérieures à tvOS 14.2.
L’une des vulnérabilités est une erreur d’exécution de code à distance nommée CVE-2020-27930, qui est déclenchée par un problème de corruption de la mémoire lors du traitement d’une police générée de manière malveillante via la bibliothèque FontParser.
La deuxième vulnérabilité iOS est liée au problème d’une fuite de mémoire du noyau qui a été suivie comme (CVE-2020-27950), résultant d’un problème d’initialisation de la mémoire qui permet à des applications malveillantes d’accéder à la mémoire du noyau.
La troisième vulnérabilité (CVE-2020-27932) qui a été activement exploitée est une erreur d’escalade de privilèges du noyau causée par le problème de distorsion de type, qui permet aux applications malveillantes d’exécuter du code arbitraire en utilisant les privilèges du noyau.
L’équipe de recherche sur les bogues de Google Project Zero avait découvert les vulnérabilités et les avait signalées à l’équipe de sécurité d’Apple.
Shane Huntley, directeur du groupe d’analyse des menaces chez Google, a déclaré: L’exploitation ciblée des vulnérabilités est similaire à ce qui a été récemment rapporté et n’a rien à voir avec un ciblage électoral.
Merci pour l’info
C’est pas la première fois