Les vulnérabilités affectant les terminaux Apple sont loin d'être rares. Anodines non plus, comme cette dernière CVE-2021-1844 découverte par Clément Lecigne du groupe d'analyse des menaces de Google et Alison Huffman de l'équipe de recherche en faille des navigateurs de Microsoft.
Issu d'un problème de traitement de contenu web relatif à WebKit de type boundary error, cette vulnérabilité offre à un attaquant d'exécuter du code arbitraire distant sur un système cible via une page web corrompue. WebKit est une bibliothèque open source permettant aux développeurs d'intégrer facilement un moteur de rendu de pages Web dans leurs logiciels. C'est le cas d'Apple qui l'utilise pour de nombreuses applications (comme Mail) et également son navigateur Safari.
Une installation manuelle de correctif possible tout de suite
Si dans son billet d'alerte, Apple reste vague sur la gravité de la vulnérabilité, sa publication soudaine suggère qu'il s'agit d'une vulnérabilité sérieuse qui devrait être corrigée de toute urgence. Les terminaux sous iOS et iPadOS 14.4.1 ainsi que macOS 11.2.3 et watchOS 7.32 sont concernés. Les utilisateurs ont intérêt à appliquer la mise à jour de sécurité disponible pour iPhone 6, iPad Air 2 et iPad mini 4 (et versions ultérieures), ainsi que iPod touch (7e génération), macOS Big Sur et Apple Watch Series 3 (et version ultérieure).
Pour installer cette mise à jour sans attendre qu'elle soit poussée par Apple, il est possible de l'appliquer manuellement en passant par les réglages, préférences système (iOS et macOS) ou encore via l'onglet My Watch pour les possesseurs de montres connectées Apple Series 3 et au-delà. Le caractère inattendu de cette mise à jour de sécurité intervient juste avant la publication d'iOS 14.5 actuellement en version beta 3.
Commentaire