A peine une semaine après la publication d’iOS 14.7, Apple a dû corriger une faille de type zero day dans ses systèmes d’exploitation iOS ainsi qu'iPadOS et macOS. La vulnérabilité - CVE-2021-30807 – signalée anonymement, consistait en un problème de corruption de mémoire dans l'extension du noyau IOMobileFramebuffer. Dans une note de sécurité, Apple indique qu’une « application peut être capable d'exécuter du code arbitraire avec les privilèges au niveau du noyau ».
La firme de Cupertino vient donc de mettre à jour ses différents OS. iOS 14.7.1, iPadOS 14.7.1, and macOS Big Sur 11.5.1 sont donc à télécharger pour corriger la faille. Cette dernière impactait les Macs, iPhone 6s et plus, iPad Pro (tous les modèles), iPad Air 2 et plus, iPad 5ème génération et plus, iPad mini 4 et plus, and iPod touch (7ème génération).
Aucun lien avéré avec Pegasus
Security Week précise dans l’un de ses articles qu’il s’agit de « la treizième vulnérabilité zero day corrigée par Cupertino au cours du premier semestre de cette année ». Apple a par ailleurs été interrogé pour savoir si la vulnérabilité critique avait été exploitée par le logiciel de surveillance Pegasus de NSO Group, sans obtenir de réponse. On ne sait pour l’instant pas qui pourrait être impliqué dans ce bug.
La mise à jour d’iOS a également interrompu la fonction « déverrouiller avec l'iPhone » que les utilisateurs d'Apple Watch utilisaient pour accéder facilement à leur smartphone. En ce moment même, une autre mise à jour est en cours pour résoudre ce problème.