Dans l'urgence, Apple corrige une faille zero-day frappant iOS et iPadOS

© Alexandre Boero pour Clubic.com

Le géant Apple, victime d'une vulnérabilité affectant plusieurs de ses produits, a dû propulser dans l'urgence un correctif.

L'actualité autour de la cybersécurité est décidément très chargée. Ce lundi, la société ESET rappelle qu'Apple a dû corriger dans l'urgence, il y a quelques jours, une faille zero-day qui affectait de nombreux appareils de la firme à la pomme, parmi lesquels divers modèles d'iPhone , d'iPad, d'iPod Touch et d'Apple Watch.

La galaxie des appareils Apple touchée, Mac épargné

La mise à jour, publiée en urgence par Apple à la fin du mois de mars, mais dont on a peu entendu parler, concerne les systèmes d'exploitation iOS, iPadOS et watchOS, qui font l'objet d'une exploitation active dans la nature, avec une grave vulnérabilité qui met en danger notamment des appareils récents de la firme californienne.

Plus précisément, la faille concerne :

  • Les iPhone 6s et les versions ultérieures,
  • Toutes les versions de l'iPad Pro, l'iPad Air 2 et les versions ultérieures,
  • La 5e génération d'iPad et les versions ultérieures,
  • L'iPad mini 4 et les versions ultérieures,
  • La 7e génération de l'iPod Touch,
  • Et potentiellement les produits Apple Watch.

Les mises à jour iOS 14.4.2 et iPadOS 14.4.2 ont été mises en ligne et doivent être installées le plus rapidement possible, puisqu'elles concernent les appareils que nous venons de citer. La mise à jour iOS 12.5.2, elle, est aussi à installer, mais elle concerne des modèles plus anciens (iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération).

Une faille potentiellement génératrice d'une campagne de phishing

Pour le moment, on ignore quels attaquants ont pu exploiter cette faille ou leur localisation. Ce que l'on sait, c'est que cette faille, répertoriée CVE-2021-1879, trouve sa source dans le moteur de navigateur web open-source d'Apple, WebKit, sollicité par Safari, Mail et d'autres applications iOS et iPadOS.

Cette vulnérabilité, découverte par Clément Lecigne et Billy Leonard, deux ingénieurs de Google, permet à un individu malveillant de tromper sa cible, à distance, en la poussant à cliquer sur un lien créé pour l'occasion. Une fois que la victime clique sur le lien, elle peut ainsi générer malgré elle un code arbitraire qui permet à l'attaquant de dérober des informations et données sensibles, et de mener ensuite une attaque de phishing ou d'aider à l'installation automatique d'un logiciel malveillant sur la machine (technique du drive-by download).

Ce n'est pas la première fois que des spécialistes en cybersécurité de Google décèlent des vulnérabilités dans des produits Apple, comme le rappelle Benoît Grunemwald d'ESET France, et on ne peut aujourd'hui que vous conseiller d'activer les mises à jouer automatiques sur votre appareil à la pomme, ou bien de procéder manuellement à une mise à jour, en allant, sur votre iPhone par exemple, dans le menu « Réglages », puis en appuyant sur « Général » et en choisissant l'onglet « Mise à jour du logiciel ».

Modifié le 12/04/2021 à 16h24
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
8
Voir tous les messages sur le forum

Actualités récentes

Cette smart TV 4K Continental 58
Le pack volant de course Logitech G920 + levier Shifter est vraiment pas cher sur Cdiscount
Les prochains écouteurs WF-1000XM4 de Sony se dévoilent en images
Xbox Series X|S : le Dolby Vision HDR se précise, chez les insiders d'abord et demain pour tous
Cette petite souris sans fil Microsoft Wireless Mobile Mouse est à moins de 10€
MSI met le cap sur le ratio 16:10 et annonce de nouveaux appareils gaming et création
Epic Store : The Lion’s Song offert cette semaine, et une surprise prévue pour la semaine prochaine
Les PC portables modulaires et réparables Framework arriveront en Europe d'ici la fin de l'année
Ghostrunner 2 sera exclusif aux consoles nouvelle génération et aux PC
Gigabyte fait un commentaire sur la fabrication chinoise, perd 550 millions et... présente ses excuses
Haut de page