Apple a publié des mises à jour d'iOS, macOS, tvOS et watchOS qui corrige plusieurs vulnérabilités, notamment une chaîne d'exploitation de jailbreak à distance ainsi que des problèmes critiques dans le noyau et le navigateur web Safari.

Une vulnérabilité, repérée sous le nom de CVE-2021-30955, peut permettre à une application malveillante d'exécuter du code arbitraire avec les privilèges du noyau. La faille a également un impact sur les appareils macOS.

De plus, de multiples vulnérabilités du noyau et d’IOMobileFrameBuffer (une extension du noyau pour la gestion du framebuffer de l'écran) ont été corrigées avec les dernières mises à jour, parmi eux :

· CVE-2021-30937 et CVE-2021-30949 : Des vulnérabilités de corruption de mémoire qui pourraient permettre à une application malveillante d'exécuter du code arbitraire avec les privilèges du noyau.

· CVE-2021-30993 : Un problème de dépassement de tampon qui pourrait permettre à un attaquant en position privilégiée sur le réseau d'exécuter du code arbitraire.

· CVE-2021-30983 : Un problème de dépassement de tampon qui pourrait permettre à une application d'exécuter du code arbitraire avec les privilèges du noyau.

· CVE-2021-30985 et CVE-2021-30991 : Des problèmes d'écriture hors limites qui pourraient permettre à une application malveillante d'exécuter du code arbitraire avec les privilèges du noyau.

Sur le front de macOS, la société a corrigé un problème avec le module Wi-Fi (CVE-2021-30938) qu'un utilisateur local du système pouvait exploiter pour provoquer une terminaison inattendue du système et même lire la mémoire du noyau. Le géant de la technologie a attribué à Xinru Chi, du laboratoire Pangu, le mérite d'avoir signalé la faille.

Sept failles de sécurité ont également été corrigées dans le composant WebKit - CVE-2021-30934, CVE-2021-30936, CVE-2021-30951, CVE-2021-30952, CVE-2021-30953, CVE-2021-30954 et CVE-2021-30984t - qui pouvaient potentiellement conduire à un scénario dans lequel le traitement d'un contenu web spécialement conçu pouvait entraîner une exécution de code arbitraire.

En outre, Apple a également résolu deux problèmes affectant Notes et le gestionnaire de mots de passe dans iOS, qui pouvaient permettre à une personne ayant un accès physique à un appareil iOS d'accéder aux contacts depuis l'écran de verrouillage et de récupérer les mots de passe stockés sans aucune authentification. Enfin, un bogue dans FaceTime, qui aurait pu entraîner la fuite d'informations sensibles sur les utilisateurs par le biais des métadonnées de Live Photos, a été éliminé.