Apple dit que iOS 14.8 corrige l’attaque de l’iPhone qui a vaincu les protections Blastdoor

Apple a publié un document d’assistance complet détaillant les nouveautés d’iOS 14.8, watchOS 7.6.2, iPadOS 14.8 et macOS Big Sur 11.6. Apple affirme que les mises à jour corrigent les vulnérabilités de sécurité qui « peuvent avoir été activement exploitées dans la nature ».

Plus particulièrement, Apple affirme qu’iOS 14.8 et iPadOS 14.8 corrigent tous deux les vulnérabilités CoreGraphics et WebKit qui pourraient avoir été activement exploitées. La vulnérabilité CoreGraphics a été signalée par The Citizen Lab, qui a découvert une attaque iPhone sans clic qui a vaincu les protections Blastdoor d’Apple en août.

La vulnérabilité signalée par The Citizen Lab aurait été utilisée pour cibler des militants bahreïnis dont les iPhones ont été piratés avec succès avec le logiciel espion Pegasus de NSO Group.

Dans un document d’assistance publié aujourd’hui, Apple décrit la vulnérabilité et son correctif :

CoreGraphics

Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)

Impact : le traitement d’un PDF construit de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.

Description : un débordement d’entier a été résolu avec une validation d’entrée améliorée.

CVE-2021-30860 : Le laboratoire citoyen

Il existe également un correctif pour une vulnérabilité WebKit :

WebKit

Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)

Impact : le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.

Description : un problème d’utilisation après la gratuité a été résolu avec une meilleure gestion de la mémoire.

CVE-2021-30858 : un chercheur anonyme

Vous trouverez tous les détails sur les mises à jour de sécurité d’aujourd’hui sur les liens suivants :

FTC : Nous utilisons des liens d’affiliation automatique qui génèrent des revenus. Suite.

Découvrez . sur YouTube pour plus d’actualités Apple :

Share