Publié le 1 avril 2020. Une vulnérabilité de sécurité critique a été identifiée, affectant plusieurs technologies Apple et des distributions Linux majeures. Le niveau de risque est qualifié de « HAUT », avec un risque d’exploitation élevé.
- Une faille de sécurité « HAUTE » affecte les systèmes Apple iCloud et iTunes.
- Plus de 60 packages et bibliothèques logicielles sont concernés, notamment des distributions Linux populaires.
- Le risque d’exploitation est jugé élevé, avec un indice de probabilité d’exploitation de 78,9 %.
Cette alerte de sécurité, datée du 1er avril 2020, met en lumière une vulnérabilité dont la gravité est jugée « HAUTE ». Aucun exploit public ou CISA KEV n’est répertorié pour le moment, et le score AIIC (Automated Intelligence for Internet Cyber-security) est indiqué comme « N/A ». Cependant, le centile de probabilité d’exploitation (EPSS) s’élève à 78,9 %, avec une probabilité d’exploitation de 1,3%, signalant un risque d’exploitation concret.
Les technologies directement touchées par cette faille incluent Apple iCloud et Apple iTunes. De plus, un large éventail de packages et de bibliothèques sont également impactés. Parmi eux figurent le « moteur de rendu dleyna » et « pipewire0.2-développement », auxquels s’ajoutent 48 autres éléments non détaillés ici. Ce recensement couvre également de nombreuses distributions Linux : AlmaLinux (versions 8), Debian (versions 10, 11, 12, 13, 14), Gentoo, Red Hat Enterprise Linux (versions 6, 7, 8), Rocky Linux (version 8) et Ubuntu (versions 18.04, 19.10, 20.04, 20.10, 21.04, 21.10, 22.04, 22.10, 23.04, 23h10, 24.04).
Les sources d’information consolidées pour cette vulnérabilité proviennent de divers avis de sécurité et bases de données. Le traqueur de sécurité Debian indique que la faille est corrigée pour les versions 10 à 14, avec une gravité « HAUTE » pour certaines. La base de données consultative Gentoo référence un correctif pour une vulnérabilité de gravité « MOYENNE ». Les errata Red Hat et Rocky Linux signalent également des correctifs pour des versions spécifiques, avec une gravité « MOYENNE ». Pour Ubuntu, les bulletins de sécurité indiquent des corrections pour plusieurs versions, qualifiées de « MOYENNE ». Enfin, la National Vulnerability Database (NVD) liste cette faille sous CVE-2020-3895, affectant Windows et qualifiée de « HAUTE ». Des détails supplémentaires sont disponibles via des liens externes vers les sites officiels de ces distributions et bases de données.