Apple a publié une nouvelle mise à jour de sécurité pour iOS afin de corriger trois vulnérabilités zero-day qui sont activement exploitées par les cybercriminels dans la nature. Selon le directeur du groupe d'analyse des menaces de Google, Shane Huntley, les trois jours zéro iOS sont liés à un autre trio de jours zéro dans son navigateur Chrome, ainsi qu'un jour zéro Windows qui a été récemment révélé par la société. Projet Zéro Sécurité. équipe. Dans un tweet, Huntely a confirmé que trois jours zéro d'iOS sont utilisés pour une exploitation ciblée dans la nature, bien qu'ils ne soient pas utilisés pour cibler les élections américaines de 2020. Bien que zéro jour soit actuellement utilisé dans les attaques, Google n'a pas partagé de détails sur qui est responsable ou qui a été ciblé.
iOS zéro jours
Les utilisateurs d'IOS doivent mettre à jour leurs appareils vers iOS 14.2 pour éviter d'être victimes d'attaques potentielles exploitant trois jours zéro. Les vulnérabilités ont également été corrigées dans iPadOS 14.2 et watchOS 5.38, 6.2.9 et 7.1, bien que les correctifs aient également été appliqués aux iPhones plus anciens via iOS 12.4.9. Des attaques zero-day sur iOS ont été découvertes par l'équipe de sécurité Project Zero de Google, qui a signalé ses découvertes à Apple. Selon le chef d'équipe de Project Zero, Ben Hawkes, Day One Zero est une faille d'exécution de code à distance, suivie sous le nom de CVE-2020-27930, dans le composant iOS FontParser qui permet à un attaquant d'exécuter du code à distance sur des appareils iOS. Le deuxième zero-day est une vulnérabilité d'escalade de privilèges, suivie comme CVE-2020-27932, dans le noyau iOS qui permet à un attaquant d'exécuter du code malveillant avec des privilèges au niveau du noyau. Enfin, le troisième zero-day est une fuite de mémoire dans le noyau iOS, suivie comme CVE-2020-27950, qui permet à un attaquant de récupérer le contenu de la mémoire du noyau d'un appareil iOS. La raison pour laquelle les utilisateurs d'iOS sont invités à mettre à jour leurs appareils le plus rapidement possible est que les trois jours zéro sont utilisés ensemble dans le cadre d'une chaîne d'exploitation qui permet à un attaquant de compromettre les iPhones à distance. Via ZDNet