Apple publie iOS 14.8 pour corriger un nouvel exploit sans clic prétendument utilisé par NSO Group

Brève XdaNov 10, 2023
click fraud protection

Apple a publié iOS 14.8 avec quelques correctifs de sécurité importants. Cette mise à jour pourrait être la dernière reçue par iOS 14, à l’approche de la sortie d’iOS 15.

Apple a publié iOS 14.8 avec quelques correctifs de sécurité importants. Cette mise à jour pourrait être la dernière reçue par iOS 14, car iOS15la sortie de se rapproche du lancement du nouveau iPhone13. Apple, cependant, pourrait permettre aux utilisateurs d'installer de futures mises à jour de sécurité sans avoir à mettre à jour vers la prochaine version majeure du système d'exploitation.

Il y a une semaine, le Citizen Lab a informé Apple d'un nouvel exploit zéro clic zéro jour ciblant les utilisateurs iOS, iPadOS, watchOS et macOS via iMessage. Un attaquant pourrait accéder à des informations sensibles, notamment aux messages, journaux d’appels et e-mails de la victime, en plus de la caméra et du microphone de l’appareil. L'exploit, FORCEDENTRY, est originaire d'Israël et a été distribué par NSO Group aux gouvernements du monde entier. Il a fallu une semaine à Apple pour résoudre ce problème et il est recommandé à tous les utilisateurs de mettre à jour leurs appareils dès que possible.

Outre iOS 14.8, Apple a également publié des mises à jour de sécurité sur iPadOS, watchOS et macOS. Dans un document justificatif, Apple répertorie les correctifs suivants :

  • Graphiques de base
    • Disponible pour: iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
    • Impact: Le traitement d'un PDF conçu de manière malveillante peut conduire à l'exécution de code arbitraire. Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été activement exploité.
    • Description: un dépassement d’entier a été résolu avec une validation d’entrée améliorée.
    • CVE-2021-30860: Le laboratoire citoyen
  • Kit Web
    • Disponible pour: iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
    • Impact: Le traitement de contenu Web conçu de manière malveillante peut conduire à l'exécution de code arbitraire. Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été activement exploité.
    • Description: un problème d'utilisation après utilisation gratuite a été résolu avec une gestion améliorée de la mémoire.
    • CVE-2021-30858: un chercheur anonyme

Pour mettre à jour votre iPhone, vous pouvez consulter notre tutoriel sur comment vérifier et mettre à jour iOS sur votre iPhone. Nous recommandons fortement à tous les utilisateurs de mettre à jour dès que possible la dernière version du logiciel Apple sur leurs appareils.