Apple a émis un avertissement à l'attention de ses utilisateurs concernant un bogue zero-day exploité par des pirates.
L'exploit, surnommé CVE-2021-30869, affecte à la fois les utilisateurs de Mac et d'iPhone, mais Apple a rapidement publié les correctifs respectifs pour résoudre le problème.
Le bogue n'a pas été découvert par Apple, mais plutôt par des membres du groupe d'analyse des menaces de Google et des équipes Project Zero, qui cherchent à protéger les utilisateurs contre les pirates et les vulnérabilités zero-day.
Apple a gardé le silence sur la faille et n'a partagé aucun détail autre que celui de déclarer qu'il permettait aux pirates "… d'exécuter du code arbitraire avec les privilèges du noyau". Selon Help Net Security, la vulnérabilité affecte le XNU, qui est le cœur de macOS et iOS.
Gagner l'accès au XNU aurait permis à un pirate d'exécuter son code sans être arrêté par le système d'exploitation.
Les correctifs sont maintenant disponibles. Le correctif iOS corrige également les failles découvertes dans CoreGraphics et WebKit. Chose intéressante, la vulnérabilité iOS affecte également des appareils beaucoup plus anciens.
En plus des appareils actuels, l'exploit concerne l'iPhone 5s, l'iPhone 6 et 6 Plus, l'iPad Air, l'iPad mini 2 et 3 et la sixième génération d'iPod touch.
Un autre analyste des menaces de Google, Shane Huntley, a déclaré sur Twitter que l'équipe enquête sur les exploits et que plus de détails suivront.
On ne sait pas à quel point les problèmes de sécurité sont répandus dans les anciens appareils Apple, mais ce n'est pas rare. Un autre exploit plus tôt en septembre a affecté les anciennes versions d'iOS et de macOS. Il a depuis été corrigé.
Apple exhorte ses utilisateurs à télécharger la dernière mise à jour pour sceller la récente vulnérabilité.
