Apple publie une mise à jour iOS 15.0.2 (et iPadOS 15.0.2) qui corrige une vulnérabilité de sécurité pour laquelle il est fait mention d'un rapport indiquant une exploitation active dans des attaques. Des iPhone et iPad ont donc été exposés alors qu'un patch n'était pas disponible.

Signalée par un chercheur en sécurité anonyme, la vulnérabilité en question est référencée CVE-2021-30883. Un bug de corruption de mémoire dans IOMobileFrameBuffer permet à une application d'exécuter du code arbitraire sur des appareils vulnérables avec des privilèges liés au noyau.

Apple indique seulement que le problème est résolu par une meilleure gestion de la mémoire. IOMobileFrameBuffer est présenté comme une extension du noyau qui permet aux développeurs de contrôler la manière dont la mémoire d'un appareil gère l'affichage à l'écran (framebuffer).

alerte

Une 17e 0day pour 2021

À ce stade, le groupe de Cupertino ne précise pas les attaques qui exploitent la vulnérabilité. Un chercheur en sécurité n'a en tout pas tardé pour étudier le patch (reverse engineering) et publier une preuve de concept afin de démontrer la dangerosité de la faille.

Selon un comptage de The Record, CVE-2021-30883 est la 17e 0day qu'Apple a corrigé dans ses produits cette année. En juillet dernier, il était déjà question de corruption de mémoire avec IOMobileFrameBuffer.

Au-delà de la sécurité, iOS 15.0.2 apporte également des correctifs de bugs. Notamment, des photos enregistrées dans la bibliothèque depuis l'application Messages qui pouvaient être effacées après la suppression du fil de discussion ou du message associé.