Apple a publié la mise à jour d’iOS 14.2 qui permet de corriger les trois failles zero-day. Ces dernières ont été découvertes par l’équipe Project Zero de Google. D’après le directeur du groupe d’analyse des menaces de Google « Shane Huntley », ces trois failles zero-day d’iOS ont un lien avec la dernière découverte de trois autres failles zero-day dans Chrome [1, 2, 3] et d’une faille zero-day dans Windows, divulguées par Google au cours des dernières semaines. Aucun détail n’a été communiqué par Google sur les attaquants ou leur(s) cible(s).

Il est vrai que l’on ne sait pas si ces failles ont été utilisées dans des attaques ciblées ou massives, mais il reste préférable aux utilisateurs d’iOS d’installer la mise à jour iOS 14.2, par précaution et mesure de sécurité.

D’après Ben Hawkes, le chef de l’équipe de Project Zero, dont l’équipe a découvert et rapporté les attaques à Apple, les trois failles iOS sont :

• CVE-2020-27930 – un problème d'exécution de code à distance dans le composant FontParser d'iOS qui permet aux attaquants d'exécuter du code sur des appareils iOS.
• CVE-2020-27932 – une vulnérabilité d'élévation de privilèges dans le noyau iOS qui permet aux attaquants d'exécuter du code malveillant avec des privilèges de niveau noyau.
• CVE-2020-27950 – une fuite de mémoire dans le noyau iOS qui permet aux attaquants de récupérer le contenu de la mémoire du noyau d'un appareil iOS.

Selon cette équipe, les trois failles ont été utilisées ensemble afin de permettre aux attaquants de compromettre des iPhone à distance.