Hier après-midi, heure espagnole, la société basée à Cupertino a publié iOS 12.1.4, la mise à jour tant attendue qui a résolu le Problème de sécurité FaceTime détecté sur iOS et cela a permis à l'expéditeur d'un appel, ramasser automatiquement lors de l'ajout d'une troisième personne, de sorte que Les serveurs d'Apple autorisent à nouveau les appels de groupe.
En soi, uniquement entre les appareils gérés par iOS 12.1.4. Si votre appareil n'est pas géré par cette version, les appels de groupe via FaceTime ne sont pas disponibles sauf si vous effectuez une mise à niveau. Mais il semble que cette dernière mise à jour résout non seulement le problème des appels, mais aussi, selon un ingénieur en sécurité de Google, corrige deux vulnérabilités 0 jours.
Les vulnérabilités 0-day (zero day) sont celles qui sont présentes dans les applications ou les systèmes d'exploitation puisqu'elles sont accessibles au public sans que le développeur en ait connaissance, ils ont donc toujours été disponibles pour être exploités, ils sont donc appelés 0-day (zero day).
Si vous aviez le moindre doute sur l'opportunité de mettre à jour vers iOS 12.1.4, la présence de ces deux vulnérabilités est une preuve supplémentaire que il est toujours conseillé de mettre à jour notre système d'exploitation à la dernière version disponible, à la fois du système d'exploitation que nous utilisons et des applications.
Ben Hawker, l'ingénieur en sécurité de Google qui a signalé ces deux vulnérabilités, identifiées comme CVE-2019-7286 et CVE-2019-7287, affirme que le premier permet à un tiers d'utiliser la corruption de mémoire pour obtenir des privilèges élevés.
Le second, permet à un attaquant exécuter du code arbitraire avec les privilèges du noyau, en raison du problème de corruption de la mémoire ci-dessus. Logiquement, aucun détail supplémentaire n'a été donné en raison de l'importance de ce type de vulnérabilité et de nombreux appareils n'ont pas encore été mis à jour.
Ces problèmes de sécurité ont été détectés par Google via la plateforme Project Zero, plate-forme chargée de détecter les failles de sécurité dans les applications et les systèmes d'exploitation et d'informer préalablement les personnes concernées, en leur donnant un délai de 90 jours pour résoudre le problème avant de le rendre public.
