Mettez à jour iOS : Apple vient de corriger deux failles zero-day activement exploitées par des pirates

La mise à jour 12.1.4 ne corrige pas seulement le fameux bug FaceTime, mais aussi deux failles critiques exploitées de manière active par les pirates. Ce qui est potentiellement plus grave.

Si vous avez un iPhone ou un iPad, pensez à mettre à jour votre système d’exploitation dès que vous pourrez. Disponible depuis hier, la dernière mise à jour (iOS 12.1.4) colmate deux failles critiques qui sont d’ores et déjà exploitées de manière active par les pirates.  

Ces failles ont été découvertes, entre autres, par des chercheurs en sécurité de Google Project Zero. Compte tenu du risque, aucun détail technique n’a été révélé sur la manière dont ces vulnérabilités peuvent être exploitées. 

La première faille (CVE-2019-7286) se trouve dans le module Foundation d’iOS et permet à une application d’élever ses privilèges d’accès. La seconde faille (CVE-2019-7287) est logée dans le module IOKit et permet à une application d’exécuter du code arbitraire avec les privilèges du noyau. Dans les deux cas, les failles proviennent d’un manque de vérification des données entrées (« input validation ») ce qui, dans certains cas, peut entraîner une altération de la mémoire.

Rappelons que cette mise à jour corrige également le fameux bug de FaceTime, qui permettait à quelqu’un d’écouter son interlocuteur avant que celui-ci ne réponde à son appel. Ce qui était plutôt gênant.