iOS 12.1.4 corrige deux failles 0day

iOS 12.1.4 est à peine livré qu’il est déjà nécessaire de le télécharger. En effet, si la nouvelle version du système d’exploitation d’Apple corrige le bug de FaceTime, il patche également deux autres failles découvertes par Apple et particulièrement sévères.

Fin janvier on apprenait que FaceTime était grevé d’une méchante faille, permettant par le biais de la fonctionnalité d’appels de groupe d’avoir accès à l’audio de l’iPhone du destinataire. Apple avait rapidement pris des mesures, désactivant le service et promettant de corriger ce bug avec la version 12.1.4 d’iOS.

Laquelle, si elle a un peu tardé, est disponible depuis hier. Et s’avère indispensable. En effet, elle vient corriger deux failles 0day découvertes par les équipes de Google Zero. D’un côté, CVE-2019-7286 se trouve dans le framework Foundation et est décrite comme une corruption de la mémoire permettant à un attaquant d’obtenir une élévation de privilèges à travers une application malveillante.

Des vers dans la pomme

De l’autre, CVE-2019-72867 affecte IOKit, un second framework gérant les I/O logiciel-matériel. Là encore, un problème de corruption de la mémoire est en cause et autorise un attaquant à exécuter du code arbitraire avec les privilèges du kernel. Ces deux vulnérabilités ont déjà été exploitées, selon un tweet du patron de Google Zero, Ben Hawkes.