Après avoir proposé la version finale d’iOS 14.4 (et d’iPadOS 14.4) au téléchargement il y a quelques heures, Apple annonce que cette version a corrigé 3 failles en plus d’apporter des nouveautés et de corriger certains bugs. Ces failles de sécurité ont été exploitées par des hackers, d’après Apple.
Apple déclare qu’iOS 14.4 (et iPadOS 14.4) corrige une faille de sécurité retrouvée dans le noyau (kernel) qui affecte l’iPhone 6s et les modèles ultérieurs, l’iPad Air 2 et les modèles ultérieurs, l’iPad mini 4 et les modèles ultérieurs et l’iPod touch (7e génération). Apple a fourni que ces brèves descriptions :
- Conséquence : une application malveillante peut être en mesure d’élever des privilèges. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
- Description : une condition de concurrence a été résolue avec un verrouillage amélioré.
Toujours selon Apple, iOS 14.4 (et iPadOS 14.4) corrige également deux vulnérabilités dans WebKit, qui est le moteur de navigateur utilisé par Safari, qui affecte les appareils cités plus haut :
- Conséquence : un attaquant distant peut provoquer l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
- Description : un problème de logique a été résolu par des restrictions améliorées.
Après ces courtes descriptions, aucune donnée supplémentaire n’est actuellement fournie. À la fin, Apple annonce que beaucoup plus de détails sur ces vulnérabilités seront proposés bientôt. Ces trois failles ont été signalées par des chercheurs en sécurité anonymes et ont pour références CVE-2021-1782, CVE-2021-1871 et CVE-2021-1870.
Il n’est pas facile qu’Apple notifie qu’une (ou des) faille de sécurité peut avoir été activement exploitée. Par conséquent, il est préférable d’installer la mise à jour sur votre appareil dès que possible.
