La première faille permet de contourner tous les contrôles de sécurité de macOS, l’autre d’exécuter du code arbitraire dans le navigateur.
Il est temps de faire les mises à jour de ses appareils Apple. La firme de Cupertino vient de livrer une fournée de patches pour l’ensemble de ses systèmes d’exploitation. macOS et iOS nécessitent une attention particulière, en raison de deux failles zero-day qui sont exploitées de manière active par des pirates.
La première (CVE-2021-30657) ne concerne que les versions macOS supérieure ou égale à 10.15 et permet de contourner tous les contrôles de sécurité que le système applique lorsqu’il tombe sur un fichier téléchargé sur Internet. A savoir : mise en quarantaine, vérification de la signature du développeur par Gatekeeper, et vérification de la présence de malware grâce à la « notarisation ».
Cette faille est évidemment très pratique pour les auteurs de malware. Elle est d’ailleurs d’ores et déjà utilisée par le groupe Shlayer, spécialisé dans les publiciels. Ces pirates connaissent bien le sujet, car ils avaient déjà, par le passé, réussi à faire « notarier » certains de leurs malwares par Apple.
La seconde faille zero-day (CVE-2021-30661) concerne le module de stockage du moteur de rendu WebKit. Un bug dans la gestion de la mémoire permet d’exécuter du code arbitraire dans le navigateur à partir de contenus Web piégés.
Apple précise que cette faille est exploitée activement par des pirates, mais ne précise pas lesquels, ni dans quelles circonstances. Cette faille affecte macOS, iOS et watchOS.
source : 01net