Suite à la sortie d’iOS 12.1.4, les chercheurs en sécurité de Google ont révélé que deux vulnérabilités de type « zero-day » ont été corrigées.
Rappelez-vous que le terme zero-day indique une menace informatique qui exploite des vulnérabilités logicielles pas encore révélées. Comme indiqué par ZDNet, les deux vulnérabilités ont été résolues avec iOS 12.1.4, mais ceux qui n’ont pas fait cette mise à jour les ont toujours.
La faille CVE-2019-7286 fait référence au framework iOS Foundation et permet à un attaquant d’utiliser une corruption de mémoire pour obtenir des « privilèges système élevés ». Quant à la vulnérabilité CVE-2019-7287, elle permet à un attaquant « d’exécuter du code arbitraire avec des privilèges du noyau », toujours en raison d’un problème de corruption de la mémoire.
Les journaux de sécurité d’Apple reconnaissent « un chercheur anonyme, Clement Lecigne du groupe d’analyse des menaces Google, Ian Beer de Google Project Zero et Samuel Groß de Google Project Zero » comme ceux qui ont découvert les deux failles de sécurité.
Les deux vulnérabilités (sur l’iPhone 5 et ultérieur) ont été corrigées avec iOS 12.1.4, ainsi que le bug Group FaceTime et le bug Live Photo dans FaceTime.
Maintenant que ces deux bugs ont également été fixés, nous vous conseillons de mettre à jour votre iPhone et iPad dès que possible vers la version 12.1.4.