Avec iOS 14.5.1, Apple a apporté des correctifs de sécurité majeurs à WebKit, le moteur qui exécute Safari et d’autres navigateurs Web sur iOS. Cependant, certains chercheurs soulignent qu’il existe encore un exploit dans WebKit dans les dernières versions d’iOS et de macOS.
Comme l’a souligné la société de sécurité Theori, la vulnérabilité est liée à AudioWorklet, qui gère la sortie audio sur les pages Web et provoque le plantage de Safari. Avec les bonnes commandes, les attaquants peuvent utiliser cet exploit pour exécuter du code malveillant sur iPhone, iPad et Mac.
Cependant, ce qui intrigue vraiment les chercheurs, c’est que cette vulnérabilité a été révélée il y a près de trois semaines par des développeurs extérieurs à Apple, comme on le voit dans le référentiel WebKit sur GitHub. Malgré cela, Apple n’a pas encore inclus le correctif dans les dernières versions de ses systèmes d’exploitation. « Nous ne nous attendions pas à ce que Safari soit à nouveau vulnérable des semaines après la publication du correctif », a déclaré l’un des chercheurs.
Comme l’a souligné Theori, la fenêtre entre un correctif public et son inclusion dans les versions officielles devrait être très étroite, mais pour une raison quelconque, Apple n’a pas encore reconnu et résolu le problème. Apple travaille actuellement sur iOS 14.7 et d’autres mises à jour logicielles, et le correctif sera probablement disponible dans une prochaine mise à jour.
