Moins de deux semaines après qu’Apple a été accusé d’être imprudent à propos d’une vulnérabilité de sécurité iOS, la société a résolu le problème en publiant un correctif pour les appareils iPhone et iPad.
La nouvelle mise à jour de sécurité s’attaque à une vulnérabilité de déni de service récemment découverte, nommée « doorLock ». La vulnérabilité, découverte pour la première fois par le chercheur en sécurité Trevor Spiniolas, affecte Apple HomeKit, dans les versions iOS 14.7 à 15.2. HomeKit est une plate-forme logicielle pour la création d’applications pour la maison intelligente.
Pour démontrer le problème, Spinolas a enregistré une courte vidéo YouTube. Il y décrit comment abuser de la faille, montrant qu’il suffit à un acteur malveillant de renommer l’appareil HomeKit en quelque chose de plus de 500 000 caractères.
Sommaire
Boucle sans fin de gels et de redémarrages
Une application iOS avec accès aux données Home pourrait, en théorie, modifier les noms des appareils HomeKit, même si le point de terminaison cible n’a pas d’appareils Home ajoutés. Étant donné qu’il ne s’agit pas d’une vulnérabilité « de jure », c’est une grande question de savoir comment les applications antivirus y remédieraient. Il n’y a aucun malware là-bas, abusant de cette faille.
L’appareil essayant de charger le nom long se figerait, l’utilisateur n’ayant d’autre moyen que de le réinitialiser. Pour ajouter l’insulte à la blessure, la réinitialisation supprimerait toutes les données stockées et dès que l’appareil se reconnecterait à iCloud lié à l’appareil HomeKit, il se figerait à nouveau.
Spinolas a déclaré avoir informé Apple du bogue en août de l’année dernière, en vain. Cependant, Apple a maintenant résolu le problème dans OS 15.2.1 et iPadOS 15.2.1 en ajoutant une validation d’entrée améliorée.
Tous les modèles d’iPad Pro, tous les iPhones à partir du modèle 6, tous les appareils iPad Air à partir du modèle 2, tous les iPads de la cinquième génération au plus récent, tous les iPad mini, à partir de la version 4, ainsi que la septième génération d’iPod touch appareils, sont désormais protégés.
- Vous pouvez également consulter notre liste des meilleurs pare-feu du moment
Via: BleepingOrdinateur
