La version finale d’iOS 14.4 (et d’iPadOS 14.4) est disponible au téléchargement il y a quelques heures. Avec cette version, Apple a proposé quelques nouveautés, a corrigé certains bugs et a également bouché 3 failles. Ces failles, selon les dires d’Apple, ont déjà été exploitées par des hackers.
Sur sa page, Apple affirme qu’iOS 14.4 (et iPadOS 14.4) corrige une faille de sécurité retrouvée dans le noyau (kernel) affectant les iPhone 6s et les modèles ultérieurs, les iPad Air 2 et les modèles ultérieurs, les iPad mini 4 et les modèles ultérieurs et l’iPod touch (7e génération). Le constructeur ne fournit qu’une brève description :
- Conséquence : une application malveillante peut être en mesure d’élever des privilèges. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
- Description : une condition de concurrence a été résolue avec un verrouillage amélioré.
Outre, iOS 14.4 (et iPadOS 14.4) corrige également deux vulnérabilités dans WebKit, qui est le moteur de navigateur utilisé par Safari, qui affecte les mêmes appareils précités :
- Conséquence : un attaquant distant peut provoquer l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
- Description : un problème de logique a été résolu par des restrictions améliorées.
Enfin, Apple indique que des détails supplémentaires sur ces vulnérabilités seront disponibles très bientôt, mais aucune information supplémentaire n’est actuellement fournie par le constructeur. Apple affirme que les trois failles ont été signalées par des chercheurs en sécurité anonymes. Et les trois failles en question ont pour références CVE-2021-1782, CVE-2021-1871 et CVE-2021-1870.
Il est rare qu’Apple déclare qu’une faille de sécurité (ou des failles de sécurité) peut avoir été activement exploitée. Ainsi, avec ces failles de sécurité corrigées dans iOS 14.4 (et dans iPadOS 14.4), il est donc fortement recommandé de mettre à jour votre appareil le plus rapidement que possible.