Apple a publié le lundi 26 juillet une mise à jour de sécurité urgente pour iOS, iPadOS et macOS afin de corriger une vulnérabilité de type "zero-day" qui, selon l'entreprise, est susceptible d’être exploitée. Cela fait de cette faille la 13ème qu'Apple corrige depuis le début de l'année en cours.

Les mises à jour, qui arrivent moins d'une semaine après que l'entreprise ait mis à disposition du public iOS 14.7, iPadOS 14.7 et macOS Big Sur 11.5, corrigent la vulnérabilité - signalée par un chercheur anonyme - appelée CVE-2021-30807, qui représente un problème de corruption de mémoire dans l'extension du noyau IOMobileFramebuffer pour la gestion du framebuffer de l'écran, qui pourrait être abusée pour exécuter du code arbitraire avec les privilèges du noyau.

La liste des appareils impactés comprend les Mac, l'iPhone 6s et au-delà, l'iPad Pro (tous les modèles), l'iPad Air 2 et plus, l'iPad 5ème génération et au-delà, l'iPad mini 4 et au-delà, et l'iPod touch (7ème génération).

Apple a corrigé le bug en améliorant la gestion de la mémoire dans iOS 14.7.1, iPadOS 14.7.1 et macOS Big Sur 11.5.1.

La société a indiqué qu'elle était "au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité". Comme c'est généralement le cas, des détails supplémentaires sur la faille n'ont pas été divulgués afin d'éviter que la vulnérabilité ne soit utilisée pour des attaques supplémentaires. Apple a remercié le chercheur anonyme qui a découvert et signalé la vulnérabilité.

Étant donné la disponibilité publique d'un exploit de type "proof-of-concept" (PoC), il est fortement recommandé aux utilisateurs de procéder rapidement à la mise à jour de leurs appareils vers la dernière version afin d'atténuer le risque associé à la faille.