La publication par Apple de la mise à jour iOS 14.4 (et iPadOS 14.4) est accompagnée de la correction de trois vulnérabilités de sécurité pour lesquelles le groupe de Cupertino signale un rapport d'une exploitation active. Une exploitation dans la nature avant la disponibilité des correctifs, d'où un qualificatif de 0day.
Ces vulnérabilités sont référencées CVE-2021-1782, CVE-2021-1871 et CVE-2021-1870. Également corrigée avec watchOS 7.3 et tvOS 14.4, la première affecte le noyau du système d'exploitation. Elle est décrite comme une condition de concurrence permettant une élévation de privilèges par une application malveillante.
Corrigées avec iOS 14.4 et iPadOS 14.4, les deux autres vulnérabilités de sécurité affectent le moteur de rendu WebKit. Apple évoque une erreur logique permettant à un attaquant distant d'exécuter du code arbitraire (dans le navigateur Safari).
Apple n'entre pas dans les détails pour le moment. Ils devraient venir ultérieurement. La découverte des vulnérabilités est attribuée à un chercheur en sécurité anonyme. A priori, les trois vulnérabilités font partie d'une chaîne d'exploitation.
Avec aussi quelques petites améliorations
La mise à jour iOS 14.4 n'est toutefois pas qu'une affaire de sécurité pour l'iPhone. Elle apporte diverses corrections de problèmes (comme pour la saisie au clavier avec du lag et l'absence des suggestions) et améliorations.
Parmi les améliorations (partagées avec iPadOS 14.4), il y a une reconnaissance des QR codes de plus petite taille avec l'application d'appareil photo, une nouvelle option dans les réglages Bluetooth pour classer les types d'appareils audio connectés à l'iPhone (écouteur, autoradio, haut-parleur, appareil auditif...).
En précisant le type d'appareil, cela permet à l'iPhone de mesurer correctement le niveau sonore des écouteurs pour envoyer des alertes si besoin.