Les mises à jour iOS 14.4 et iPadOS 14.4 publiées par Apple corrigent trois vulnérabilités de sécurité graves affectant le noyau et le navigateur Safari.
Ces failles permettent une escalade de privilèges et des attaques par exécution de code à distance. Selon le document de sécurité officiel d'Apple, ces vulnérabilités « pourraient avoir été activement exploitées ». Apple n'a pas précisé si des utilisateurs ont été impactés.
Pour une mise à jour sans fil sur iPhone, iPad ou iPod touch, rendez-vous dans Paramètres > Général > Mise à jour logicielle. Si une mise à jour est disponible, touchez « Installer maintenant ». Assurez-vous que l'appareil est branché et connecté en Wi-Fi.
Vous pouvez aussi utiliser un ordinateur : ouvrez le Finder sur Mac ou iTunes sur PC, connectez votre appareil, sélectionnez-le et cliquez sur « Vérifier les mises à jour ».
Ces derniers mois, des chercheurs ont identifié plusieurs vulnérabilités iOS exploitables pour des attaques ciblées. Apple a intégré les correctifs dans iOS 14.4 et iPadOS 14.4 suite à ces alertes.
Une vulnérabilité zero-day est un défaut inconnu du développeur, exploitable jusqu'à sa correction. Les pirates en profitent librement en attendant.
Détecter ces failles avant exploitation relève d'un bras de fer constant. Un zero-day iOS est suspecté dans des attaques contre des journalistes d'Al Jazeera, ouvrant la voie à un logiciel espion.
Les zero-days servent aussi au jailbreak, qui contourne les restrictions iOS pour installer des apps hors App Store.
Malgré la solide réputation d'Apple en confidentialité et sécurité des données, ces découvertes récentes surprennent.
Apple prévoit de fournir plus de détails sur ces trois failles ultérieurement. En attendant, mettez à jour votre iPhone et iPad dès que possible pour minimiser les risques de piratage.
[]