Apple a publié jeudi des mises à jour de sécurité d’urgence pour iOS, iPadOS, macOS et watchOS afin de corriger deux failles zero-day qui ont été exploitées dans la nature pour fournir le logiciel espion mercenaire Pegasus de NSO Group.
Les problèmes sont décrits ci-dessous –
- CVE-2023-41061 – Un problème de validation dans Wallet qui pourrait entraîner l’exécution de code arbitraire lors de la gestion d’une pièce jointe conçue de manière malveillante.
- CVE-2023-41064 – Un problème de débordement de tampon dans le composant Image I/O qui pourrait entraîner l’exécution de code arbitraire lors du traitement d’une image conçue de manière malveillante.
Alors que le CVE-2023-41064 a été découvert par le Citizen Lab de la Munk School de l’Université de Toronto, le CVE-2023-41061 a été découvert en interne par Apple, avec « l’aide » du Citizen Lab.
Les mises à jour sont disponibles pour les appareils et systèmes d’exploitation suivants –
Dans une alerte distincte, Citizen Lab a révélé que les deux failles avaient été utilisées comme une arme dans le cadre d’une chaîne d’exploitation iMessage sans clic nommée BLASTPASS pour déployer Pegasus sur des iPhones entièrement corrigés exécutant iOS 16.6.
« La chaîne d’exploit était capable de compromettre les iPhones exécutant la dernière version d’iOS (16.6) sans aucune interaction de la victime », a indiqué le laboratoire interdisciplinaire. « L’exploit impliquait des pièces jointes PassKit contenant des images malveillantes envoyées depuis un compte iMessage d’un attaquant à la victime. »
Des détails techniques supplémentaires sur les lacunes ont été retenus à la lumière d’une exploitation active. Cela dit, l’exploit contournerait le framework sandbox BlastDoor mis en place par Apple pour atténuer les attaques sans clic.
« Cette dernière découverte montre une fois de plus que la société civile est la cible d’exploits très sophistiqués et de logiciels espions mercenaires », a déclaré Citizen Lab, ajoutant que les problèmes avaient été découverts la semaine dernière lors de l’examen de l’appareil d’un individu non identifié employé par une organisation de la société civile basée à Washington DC. avec des bureaux internationaux.
Cupertino a jusqu’à présent corrigé un total de 13 bugs zero-day dans son logiciel depuis le début de l’année. Les dernières mises à jour arrivent également plus d’un mois après que la société a publié des correctifs pour une faille du noyau activement exploitée (CVE-2023-38606).
La nouvelle du Zero Day survient alors que le gouvernement chinois aurait ordonné une interdiction interdisant aux fonctionnaires du gouvernement central et des États d’utiliser des iPhones et d’autres appareils de marque étrangère à des fins professionnelles, dans le but de réduire la dépendance à l’égard de la technologie étrangère et dans un contexte d’escalade de la crise chinoise. Guerre commerciale américaine.
« La vraie raison [for the ban] est : la cybersécurité (surprise surprise) », Zuk Avraham, chercheur en sécurité et fondateur de Zimperium, dit dans un article sur X. « Les iPhones ont l’image d’être le téléphone le plus sécurisé… mais en réalité, les iPhones ne sont pas du tout à l’abri du simple espionnage. »
« Vous ne me croyez pas ? Il suffit de regarder le nombre de sociétés commerciales sans clic comme NSO au fil des ans pour comprendre qu’il n’y a presque rien qu’un individu, une organisation ou un gouvernement puisse faire pour se protéger contre le cyberespionnage via les iPhones. « .
