Apple corrige iOS 15 pour remédier à la vulnérabilité Zero-Day
Moins d'un mois après la sortie du système d'exploitation mobile d'Apple, iOS 15 a été mis à jour vers la version 15.0.2 pour corriger une vulnérabilité récemment découverte affectant la plate-forme.
La vulnérabilité est codifiée comme CVE-2021-30883 et a une cote de risque élevé. La vulnérabilité concerne l'élévation des privilèges et permet à des acteurs externes d'exécuter du code potentiellement malveillant avec les privilèges du noyau.
La description officielle fournie par Apple indique qu'"une application peut être capable d'exécuter du code arbitraire avec les privilèges du noyau".
Le correctif est en ligne et tous les utilisateurs d'appareils mobiles Apple sont encouragés à mettre à jour vers 15.0.2 dès que possible, car la vulnérabilité est signalée comme déjà activement exploitée dans la nature.
La vulnérabilité affectait une extension du noyau iOS nommée IOMobileFrameBuffer qui est habituellement utilisée pour gérer le tampon de trame d'écran. SecurityWeek a rapporté que jusqu'à présent en 2021, il s'agit du seizième jour zéro découvert dans les produits Apple qui est activement exploité, sur un total de 76 attaques abusant des vulnérabilités à l'état sauvage.
Ironiquement, un correctif de sécurité suit très brièvement l'augmentation du numéro de version principal du système d'exploitation d'Apple, la version 15 étant très axée sur l'extension et la mise à jour des fonctionnalités de sécurité.
Une caractéristique phare de la grande mise à jour était le générateur de code d'authentification multifacteur intégré, ainsi que les fonctionnalités étendues visant à limiter le suivi du comportement des utilisateurs. Cela a effectivement éliminé le besoin pour les utilisateurs d'appareils Apple de télécharger des applications tierces pour gérer l'authentification MFA et automatisé le processus d'introduction des codes d'authentification multifacteur dans l'environnement qui les nécessite.
Une autre fonctionnalité introduite dans la mise à jour 15.0 est ce qu'Apple appelle Mail Privacy Protection. Cette nouvelle fonctionnalité devrait empêcher le marketing par e-mail de glaner des informations sur ce que fait l'utilisateur final dans son application Mail, limitant ainsi efficacement la publicité ciblée et minimisant la collecte de données.