Quelques jours seulement après que Google eut révélé un bogue activement exploité dans Windows et découvert et écrasé deux bogues zero-day dans son navigateur web Chrome, Apple a publié ses propres correctifs pour corriger trois vulnérabilités zero-day sous des attaques actives. Le trio de failles, qui affecte une large gamme de produits Apple, a également été découvert par l'équipe de chasseurs de bogues de la société Alphabet.
« Apple a connaissance de rapports selon lesquels un exploit pour ce problème existe dans la nature », lit-on dans le bulletin de sécurité de la société décrivant chacune des trois failles. Ils sont en cours de correction avec un certain nombre d'autres bogues de sécurité dans le cadre de la sortie de la version iOS et iPadOS 14.2.
La liste des appareils concernés par ce zero day comprend les iPhone 6 et plus, les iPod touch de 7e génération, les iPad Air 2 et plus, et les iPad mini 4 et plus.
Le géant technologique Cupertino a également publié des mises à jour de sécurité pour les vulnérabilités d'une série de ses autres produits, notamment l'Apple Watch avec watchOS 5.3.9, 6.2.9, et 7.1, une mise à jour supplémentaire pour ses produits Mac avec macOS Catalina 10.15.7, ainsi qu'un correctif pour les anciens appareils fonctionnant sous iOS 12.4.9.
Ben Hawkes, le responsable technique du Projet Zéro de Google, s'exprime ainsi sur Twitter :
Pendant ce temps, Shane Huntley, du groupe d'analyse des menaces de Google, a indiqué sur Twitter que l'exploitation des vulnérabilités est ciblée et semble être liée aux jours zéro qui ont été découverts au cours du dernier mois.
La première vulnérabilité, située dans FontParser et suivie sous le nom CVE-2020-27930, est une faille de type RCE (Remote Code Execution) qui pourrait être déclenchée par le traitement d'une police malveillante permettant potentiellement à un attaquant de lancer une attaque à distance.
La seconde faille, indexée CVE-2020-27950, réside dans le noyau et est décrite comme une faille de fuite mémoire du noyau. Un attaquant pourrait l'exploiter en créant une application malveillante pour divulguer la mémoire du noyau; selon VULDB, l'exploitation doit se faire localement et nécessite une authentification unique.
Le troisième bogue de type zero-day, suivi sous le nom de as CVE-2020-27932, est une vulnérabilité d'escalade des privilèges du noyau. « Une application malveillante peut être capable d'exécuter du code arbitraire avec les privilèges du noyau », prévient M. Apple.
Les équipes d'intervention en cas d'urgence informatique (CERT) de Hong Kong et Singapour ont émis des alertes invitant les utilisateurs des appareils Apple concernés à appliquer les mises à jour immédiatement. Si vous n'avez pas activé les mises à jour automatiques, vous pouvez mettre à jour votre iPhone et votre iPad manuellement en allant dans le menu Paramètres, puis en appuyant sur Général et en allant dans la section Mise à jour logicielle.