Apple a publié une mise à jour de sécurité pour iOS et iPad afin de corriger une vulnérabilité critique qui, selon le fabricant, est exploitée dans la nature.

L'identifiant CVE-2021-30883 a été attribué à la faille. Cette vulnérabilité concerne un problème de corruption de mémoire dans le composant "IOMobileFrameBuffer" qui pourrait permettre à une application d'exécuter du code arbitraire avec les privilèges du noyau. Apple a déclaré être au courant d'un rapport indiquant que ce problème a pu être activement exploité.

Saar Amar, chercheur en sécurité, a partagé des détails supplémentaires et un exploit de preuve de concept (PoC), notant que « cette surface d'attaque est très intéressante parce qu'elle est accessible depuis le sandbox (ce qui est idéal pour les jailbreaks). »

Les détails techniques de la faille et la nature des attaques ne sont pas disponibles pour le moment.

CVE-2021-30883 est également la deuxième faille zero-day ayant un impact sur IOMobileFrameBuffer après qu'Apple ait corrigé un problème de corruption de mémoire similaire, signalé de manière anonyme (CVE-2021-30807) en juillet 2021, ce qui laisse penser que les deux failles pourraient être liées.

Il est fortement recommandé aux utilisateurs de iPhones et de iPads d'effectuer une mise à jour vers la dernière version (iOS 15.0.2 et iPad 15.0.2) afin d'atténuer la vulnérabilité de sécurité.