Les vulnérabilités, qui sont toutes utilisées pour des attaques ciblées, affectent une longue liste d’appareils. Quelques jours à peine après que Google a révélé une faille activement exploitée dans Windows et découvert et éliminé deux bogues zero-day dans son navigateur Web Chrome, Apple a publié ses propres correctifs pour corriger trois vulnérabilités zero-day exploitées lors d’attaques actives.
Le trio de vulnérabilités, affectant une large gamme de produits Apple, a également été découvert par l’équipe de spécialistes appartenant à Alphabet.
“Apple a connaissance de rapports selon lesquels un exploit pour ce problème existe dans la nature“, lit-on dans le BULLETIN DE SÉCURITÉ de la société décrivant chacune des trois failles.
Ils sont corrigés avec un certain nombre d’autres bogues de sécurité dans le cadre de la sortie d’iOS et d’iPadOS 14.2. La liste des appareils touchés par le zero-day comprend l’iPhone 6s et les versions ultérieures, l’iPod touch de 7e génération, l’iPad Air 2 et les versions ultérieures et l’iPad mini 4 et les versions ultérieures.
Le géant de la technologie de Cupertino a également publié des mises à jour de sécurité pour les vulnérabilités de toute une gamme de ses autres produits, y compris l’Apple Watch avec watchOS 5.3.9, 6.2.9 et 7.1, une mise à jour supplémentaire pour ses produits Mac avec macOS Catalina 10.15.7, ainsi qu’un correctif pour les appareils plus anciens exécutant iOS 12.4.9.
Ben Hawkes, le responsable technique du Project Zero de Google, avait ceci à dire sur Twitter :
Apple have fixed three issues reported by Project Zero that were being actively exploited in the wild. CVE-2020-27930 (RCE), CVE-2020-27950 (memory leak), and CVE-2020-27932 (kernel privilege escalation). The security bulletin is available here: https://t.co/4OIReajIp6
— Ben Hawkes (@benhawkes) November 5, 2020
Pendant ce temps, Shane Huntley du groupe d’analyse des menaces de Google a tweeté que l’exploitation des vulnérabilités est ciblée et semble être liée aux zero-day qui ont été découverts au cours du mois dernier. La première vulnérabilité, située dans le FontParser et suivie sous le nom CVE-2020-27930, est une faille d’exécution de code à distance (RCE) qui pourrait être déclenchée par le traitement d’une police conçue de manière malveillante permettant potentiellement à un attaquant de lancer une attaque à distance.
Pendant ce temps, la deuxième faille, référencée CVE-2020-27950, réside dans le noyau et est décrite comme une faille de fuite de mémoire du noyau. Un attaquant pourrait l’exploiter en créant une application malveillante pour divulguer la mémoire du noyau; selon VULDB, l’exploitation doit se faire localement et nécessite une authentification unique.
Le troisième bogue zero-day, suivi sous le nom CVE-2020-27932, est une vulnérabilité d’escalade de privilèges du noyau.
“Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau“, a averti Apple.
Les équipes d’intervention d’urgence informatique (CERT) de Hong Kong et de Singapour ont émis des alertes exhortant les utilisateurs des appareils Apple concernés à appliquer les mises à jour immédiatement. Si les mises à jour automatiques ne sont pas activées, vous pouvez mettre à jour votre iPhone et votre iPad manuellement en accédant au menu Paramètres, puis en appuyant sur Général et en accédant à la section Mise à jour logicielle.