Apple a publié une nouvelle mise à jour mineure, mais importante de son système d'exploitation iOS, qui passe en version 15.0.2, afin de corriger deux failles zero-day. L'une permet d'accéder à des infos personnelles, tandis que l'autre permet d'exécuter des commandes avec des privilèges élevés.

Apple a corrigé cette vulnérabilité sans même crédit ou informer Denis Tokarev, le développeur à l'origine de cette découverte. D'ailleurs, cela fait 7 mois qu'il a prévenu Apple de l'existence de cette vulnérabilité. Ce n'est pas la première fois qu'Apple oublie de créditer Denis Tokarev puisque le cas s'est déjà produit en juillet dernier, lorsqu'il a découvert une faille dans iOS 14.7. Au total, entre 10 mars et le 4 mai 2021, il a découvert 4 failles Zero-Day dans iOS. Ces failles sont aujourd'hui corrigées, dont deux lorsqu’iOS 15.0 est sorti.

Cette expérience rencontrée par Denis Tokarev avec Apple n'est pas un cas isolé, puisque d'autres personnes ont rencontré une expérience similaire lorsqu'ils ont signalé un bug de sécurité via la plateforme Apple Security Bounty Program. Parfois, Apple chercher à corriger les bugs de sécurité discrètement sans mettre en avant les auteurs de ces découvertes.

La faille zero-day corrigée dans iOS 15.0.2 correspond à un bug de sécurité exploitable par le biais d'applications installées à partir de l'App Store et donnant un accès non autorisé à des données sensibles, et normalement protégées par les mécanismes de sécurité du système iOS.

À l'occasion de la sortie d'iOS 15.0.2 et d'iPadOS 15.0.2, Apple a corrigé une seconde faille zero-day activement exploitée par les pirates et correspondante à la CVE-2021-30883. Il s'agit d'une vulnérabilité de type corruption de mémoire au sein du composant IOMobileFrameBuffer. Lorsqu'elle est exploitée, l'attaquant peut, au travers d'une application malveillante, exécuter des commandes avec les droits du noyau iOS sur l'appareil.

Si vous avez un iPhone ou un iPad et que vous utilisez iOS 15, il est temps de faire un arrêt au stand pour installer la mise à jour afin de protéger votre appareil et vos données.

Source

The post Apple publie iOS 15.0.2 dans le but de corriger deux failles zero-day first appeared on IT-Connect.