Apple publie des correctifs pour d’anciennes versions logicielles vulnérables



Apple publie des correctifs pour d’anciennes versions logicielles vulnérables

 Trois vulnérabilités activement exploitées ont été découvertes dans MacOS Catalina et iOS 12.5.5. Apple a publié des correctifs.

Première vulnérabilité : CVE-2021-30869

CVE-2021-30869 est une vulnérabilité XNU qui permet à des applications malveillantes d’exécuter du code arbitraire avec les privilèges du noyau. Elle est présente dans macOS, mais aussi sur l’iPhone 5s, l’iPhone 6, l’iPhone 6 Plus, l’iPad Air, l’iPad mini 2, l’iPad mini 3 et l’iPod touch.

Apple indique que des enquêtes font état de l’existence d’une exploitation de cette vulnérabilité, et qu’elle a été corrigée « avec une gestion améliorée de l’état ». La firme de Cupertino précise qu’elle a été découverte par Erye Hernandez et Clément Lecigne, membres du groupe d’analyse des menaces de Google,

le TAG,, ainsi que par Ian Beer, du projet Zero de Google.

Deuxième vulnérabilité : CVE-2021-30860

CVE-2021-30860 a été découverte par Citizen Lab et pourrait être connectée au logiciel espion de NSO Group, Pegasus, qui a été utilisé pour pénétrer dans des appareils Apple. La vulnérabilité affecte les iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, et iPod touch (6e génération).

L’indignation a été grande lorsque Citizen Lab a publié plusieurs rapports cette année montrant comment le logiciel espion de NSO Group, Pegasus, a donné à certains Etats-nations et cybercriminels un accès complet à des appareils Apple. La vulnérabilité CVE-2021-30860, telle que décrite par Citizen Lab dans son dernier rapport, concerne la manière dont les acteurs de la menace pourraient utiliser le traitement d’un PDF malveillant pour exécuter un code arbitraire. Apple a admis dans le communiqué qu’elle a été activement exploitée, précisant qu’elle a été traitée « avec une validation améliorée des entrées ».

Troisième vulnérabilité : CVE-2021-30858 La troisième vulnérabilité –

CVE-2021-30858 – affecte les mêmes appareils que les deux premières. Elle a été soumise anonymement. Apple explique que cette vulnérabilité touche à la façon dont le traitement de contenu web malicieusement conçu peut conduire à une exécution de code arbitraire.

Comme pour les autres, Apple a révélé être consciente que cette vulnérabilité pouvait avoir été activement exploitée. Apple indique avoir résolu le problème par une « meilleure gestion de la mémoire ».

Pour plus d’information : https://www.zdnet.fr/actualites/apple-publie-des-correctifs-pour-d-anciennes-versions-logicielles-vulnerables-39929761.htm



Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité