Les mises à jour publiées par Cupertino hier soir permettent de corriger plusieurs failles de sécurité et sont donc recommandées pour tous les utilisateurs.
Apple indique ainsi sur sa page officielle de support que les mises à jour corrigent les failles CVE-2021-30860 (découverte par The Citizen Lab au sein de CoreGraphics) et CVE-2021-30858 (mise au compte d'un chercheur anonyme et touchant WebKit). La firme précise que ces faille de sécurité pourraient avoir été exploitées et conseille l'installation à l'ensemble des utilisateurs.
Selon Ivan Krstić, responsable de l'ingénierie et de l'architecture de sécurité d'Apple, après avoir identifié la vulnérabilité utilisée, Apple a rapidement développé et déployé un correctif dans iOS 14.8 pour protéger nos utilisateurs. Nous tenons à féliciter Citizen Lab pour avoir terminé avec succès le travail très difficile consistant à obtenir un échantillon de cette attaque afin que nous puissions développer ce correctif rapidement. Des attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques. Bien que cela signifie qu'ils ne constituent pas une menace pour l'écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données.
La CVE-2021-30860 relevée par The Citizen Lab est une faille zero-click ne nécessitant pas que l'utilisateur ne clique sur un lien malveillant et déjouant la protection Blastdoor mise en place par Apple. Cette vulnérabilité (utilisant un PDF, ou un autre type de fichier, pour lancer l'attaque) aurait été exploitée, entre autres, par le groupe NSO et son spyware Pegasus afin d'infecter les smartphones de ses cibles.
