Vulnérabilités dans plusieurs produits Apple

Date de publication :

CVE-2021-30657 [Score CVSS v3 : 5.5] 
Une application malveillante peut contourner les contrôles de Gatekeeper (fonction MacOS censée empêcher l’exécution de programmes non vérifiés). Un problème de logique a été résolu par une meilleure gestion des états.

CVE-2021-30661 [Score CVSS v3 : 8.8] 
Une vulnérabilité de type “use-after-free” a été corrigée au sein du composant WebKit présent sur plusieurs produits Apple. L’exploitation de cette faille peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire en injectant du contenu web spécifique.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection de code arbitraire
  • Violation des politiques de sécurité

Criticité

  • Score CVSS v3 : 8.8 max

Existence d’un code d’exploitation

  • Un exploit (POC) existe pour la CVE-2021-30657
  • Néanmoins, Apple a connaissance d'un rapport indiquant que la CVE-2021-30661 pourrait avoir été activement exploitée.

Composants vulnérables

  • Les versions de MacOS BigSur antérieures à 11.3 sont impactées par ces vulnérabilités.
     
  • Les versions d’iOS et iPadOS versions antérieures à 14.5 sont impactées par ces vulnérabilités.
     
  • Les versions macOS Big Sur versions antérieures à 11.3 sont impactées par ces vulnérabilités.
     
  • Les versions macOS Catalina sans le correctif de sécurité 2021-002 sont impactées par ces vulnérabilités.
     
  • Les versions iCloud pour Windows versions antérieures à 12.3 sont impactées par ces vulnérabilités.
     
  • Les versions watchOS versions antérieures à 7.4 sont impactées par ces vulnérabilités.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les dispositifs impactés conformément aux instructions d'Apple.

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens