Deux failles Zero-Day corrigées par Apple : CVE-2021-30657 et CVE-2021-30661

Apple a corrigé deux failles Zero-Day exploitées par les hackers et qui touchent macOS et iOS, iPadOS mais aussi watchOS. Ces deux failles critiques sont référencées CVE-2021-30657 et CVE-2021-30661.

Si vous avez un ou plusieurs appareils Apple, il est temps de faire une session de maintenance pour faire les mises à jour ! D'autant plus que la faille qui touche macOS est exploitée par un malware bien connu sur Mac : Shlayer. En janvier 2020, Kaspersky avait publié un rapport où il était mentionné que Shlayer avait attaqué 10% des Mac.

Voici ce qu'il faut savoir sur ces deux vulnérabilités...

? CVE-2021-30657 : macOS

Cette première vulnérabilité touche toutes les versions de macOS supérieures ou égales à la version 10.5. Elle permet de contourner l'intégralité des contrôles de sécurité qui se déclenchent lorsque l'utilisateur télécharge un fichier depuis Internet. Une aubaine pour les pirates puisqu'il devient plus facile de passer entre les mailles du filet en exploitant cette vulnérabilité.

Lorsque l'on parle de "contrôles de sécurité" sur macOS, on fait référence à la vérification de la signature du développeur via Gatekeeper, la mise en quarantaine et l'analyse de malware. En complément, cela permet de passer au travers du système de notarisation d'Apple qui permet d'analyser et de signer les applications, afin qu'une application sûre soit certifiée par ce mécanisme de protection.

? CVE-2021-30661 : iOS, iPadOS, watchOS

Cette seconde vulnérabilité touche le module de stockage de WebKit, ce dernier étant le moteur de rendu utilisé dans Safari. Finalement, plusieurs systèmes sont touchés par cette faille iOS, iPadOS, et watchOS. L'exploitation de cette faille permet au pirate d'exécuter du code malveillant sur l'appareil distant à l'aide d'une page spécialement conçue.

De nombreux appareils sont concernés : tous les iPad Pro, les montres connectées Apple Watch Série 3 (et supérieur), iPhone 6S (et supérieur), iPad Air 2 (et supérieur), iPad 5 (et supérieur), iPad Mini 4 (et supérieur) et enfin l'iPod Touch 7ème génération.

En complément, Apple a corrigé d'autres failles de sécurité moins critiques à l'occasion de la publication de ces nouvelles mises à jour. En tout cas, depuis novembre dernier, Apple a corrigé 9 failles Zero-Day au sein de ses OS.

CERT-FR

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 2962 articlesVoir toutes les publications de cet auteur

One thought on “Deux failles Zero-Day corrigées par Apple : CVE-2021-30657 et CVE-2021-30661

  • Merci pour les informations. La sécurité est l’affaire de tous. Même les grandes marques de magasins ont des failles. Plus la technologie avance, plus la fiabilité a ses limites. Bons à savoir.???

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.