Il est rare qu’Apple livre des mises à jour pour des terminaux qui n’exécutent pas la dernière version de ses systèmes iOS et iPadOS. Alors, quand c’est le cas, mieux vaut en tenir compte. Et la version iOS 12.5.4 livrée la semaine dernière entre sans conteste dans la catégorie critique. Destinée aux iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération), cette mise à jour corrige des vulnérabilités de WebKit exploitées dans la nature.

Sécurité

Conséquence : Le traitement d'un certificat trafiqué de façon malveillante peut conduire à l’exécution de code arbitraire.

Description : Un problème de corruption de mémoire dans le décodeur ASN.1 a été corrigé en supprimant le code vulnérable.

La vulnérabilité référencée CVE-2021-30737 a été signalée par xerub.

WebKit

Conséquence : Le traitement d’un contenu web malveillant peut conduire à une exécution de code arbitraire. D’après un rapport dont Apple a eu connaissance, il est possible que cette faille ait été activement exploitée.

Description : Un problème de corruption de mémoire a été corrigé par une meilleure gestion des états.

La vulnérabilité référencée CVE-2021-30761 a été signalée par un chercheur anonyme.

WebKit

Conséquence : Le traitement de contenu web trafiqué de façon malveillante peut conduire à une exécution de code arbitraire. D’après un rapport dont Apple a eu connaissance, il est possible que cette faille ait été activement exploitée.

Description : Un problème d'utilisation après libération a été résolu par une meilleure gestion de la mémoire.

La vulnérabilité référencée CVE-2021-30762 a été signalée par un chercheur anonyme.

La vulnérabilité CVE-2021-30737 a été corrigée pour les utilisateurs d'iOS 14 dans la mise à jour iOS 14.6 publiée en mai. Par contre, les deux autres correctifs pour les vulnérabilités affectant le WebKit seront probablement ajoutés à la version 14.7 d'iOS, actuellement en phase bêta. Généralement, Apple diffuse ses mises à jour logicielles dans des délais similaires, ce qui pourrait indiquer la sortie imminente d'iOS 14.7. Mais pour l’instant, ces deux vulnérabilités du WebKit ne sont pas corrigées et restent exploitables.