En attendant qu'Apple évoque sans doute iOS 15 lors de son événement « California Streaming » en fin de journée, la société s'attèle à corriger de nombreux trous de sécurité dans iOS 14. Sans aucun test bêta ou un quelconque avertissement, la firme de Cupertino a publié plusieurs correctifs pour l'ensemble de ses terminaux dont iOS 14.8 pour ses smartphones et iPadOS 14.8 pour ses tablettes. « Ces mises à jour de sécurité importantes sont recommandées pour tous les utilisateurs », a sobrement indiqué Apple sur sa page web de support. Le New York Times a rapporté qu'elles permettent de corriger une faille liée au logiciel espion Pegasus.
Deux principales vulnérabilités sont comblées : la première concerne le framework CoreGraphics pour pallier un problème de création de PDF malveillant pouvant conduire à l'exécution de code arbitraire. « Un débordement a été résolu avec une validation d'entrée améliorée », a précisé Apple qui indique être au courant d'un rapport selon lequel cette faille pourrait avoir été activement exploitée. Cette CVE-2021-30860 concerne l'iPhone 6s (et versions ultérieures) ainsi que les iPad Pro (tous les modèles), iPad Air 2 (et versions suivantes) iPad 5e génération (au moins), iPad mini 4 et plus ainsi que l'iPod touch (7e génération).
Le framework Webkit patché
La deuxième faille (CVE-2021-30858) concerne le framework WebKit et débouche sur la possibilité d'exécuter du contenu Web malveillant à même d'entraîner l'exécution de code arbitraire. Elle affecte les mêmes types de terminaux que pour la première vulnérabilité. Selon la firme à la pomme, le problème a été résolu grâce à une meilleure gestion de la mémoire.
Les CVE-2021-30860 et 2021-30858 sont également patchées pour macOS 11.6 qui bénéfice par ailleurs de fonctionnalités améliorées ainsi que pour le système d'exploitation pour ses montres connectées (watchOS 7.6.2). Pour obtenir ces mises à jour de sécurité importantes, l'utilisateur doit se rendre sur l'onglet « Paramètres » de son terminal, puis sélectionner « Général », «Mise à jour logicielle », et enfin « Télécharger et installer ». Toutes les marches à suivre d'installation des dernières mises à jour sécurité sont accessible à cette adresse.