L'agence fédérale de cybersécurité allemande a publié un avertissement exhortant tous les utilisateurs d'iOS à installer les dernières mises à jour de sécurité d'Apple qui corrigent deux vulnérabilités de sécurité zéro-clic qui affectent l'application de messagerie par défaut de l'entreprise.
Les vulnérabilités ont été découvertes pour la première fois par la société de sécurité américaine ZecOps, qui a découvert qu'elles étaient activement exploitées dans des attaques ciblant les utilisateurs d'iOS depuis au moins janvier 2018. Apple a reconnu les failles de sécurité, bien que la société affirme n'avoir trouvé "aucune preuve qu'elles ont été utilisés contre des clients ».
«Apple a publié des mises à jour de sécurité avec iOS 12.4.7, iOS 13.5 et iPadOS 13.5 qui corrigent les vulnérabilités de toutes les versions iOS concernées. En raison de la gravité des vulnérabilités, le BSI recommande que la mise à jour de sécurité respective soit installée immédiatement sur tous les systèmes concernés. »
Sommaire
Vulnérabilités sans clic
Les deux failles de sécurité affectant l'application Mail d'Apple sont des vulnérabilités sans clic qui résultent d'un problème de consommation de mémoire et peuvent être déclenchées après que l'application a traité un message malicieusement conçu. La première vulnérabilité, suivie comme CVE-2020-9819, pourrait entraîner une corruption de segment tandis que la deuxième vulnérabilité, suivie comme CVE-2020-9818, peut entraîner une modification de mémoire ou une interruption d'application inattendue.
Heureusement, Apple a corrigé les défauts avec la sortie d'iOS 13.5 et d'iPadOS 13.5 qui offrent une meilleure gestion de la mémoire et une vérification des limites. Les vulnérabilités affectent l'iPhone 6S et les versions ultérieures, l'iPad Air 2 et les versions ultérieures, l'iPad mini 4 et les versions ultérieures et l'iPod touch 7e génération, selon les notes de mise à jour de sécurité iOS 13.5.
Dans un article de blog, ZecOps a expliqué comment un opérateur de menace d'État national a exploité les vulnérabilités pour attaquer des cibles de haut niveau, en disant:
«Nous pensons que ces attaques sont en corrélation avec au moins un opérateur de menace d'un État-nation ou un État-nation qui a acheté l'exploit à un chercheur tiers en qualité Proof of Concept (POC) et utilisé tel quel ou avec modifications mineures (d'où les chaînes 4141..41). Bien que ZecOps s'abstienne d'attribuer ces attaques à un acteur de menace spécifique, nous sommes conscients qu'au moins une organisation de «pirates informatiques pour compte de tiers» vend des exploits en utilisant des vulnérabilités qui exploitent les adresses e-mail comme identifiant principal. »
Bien que les cibles de haut niveau soient les plus à risque, il est toujours fortement recommandé que tous les utilisateurs iOS installent les dernières mises à jour de sécurité d'Apple pour éviter d'être victimes d'attaques potentielles exploitant les deux vulnérabilités.
Via BleepingComputer