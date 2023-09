Résumé:

Apple a publié des mises à jour de sécurité d'urgence pour corriger deux vulnérabilités zero-day qui ont été activement exploitées pour déployer le logiciel espion Pegasus de NSO Group sur des iPhones entièrement corrigés. Les vulnérabilités, identifiées comme CVE-2023-41064 et CVE-2023-41061, ont permis aux attaquants d'infecter les iPhones exécutant la dernière version d'iOS sans aucune interaction de la victime. L'exploit impliquait des pièces jointes PassKit malveillantes contenant des images envoyées via iMessage. Pour se protéger contre les attaques ciblées, Citizen Lab a exhorté les clients Apple à mettre immédiatement à jour leurs appareils et à activer le mode de verrouillage s'ils courent un risque en raison de leur identité ou de leur profession. Les vulnérabilités ont été découvertes par les chercheurs en sécurité d’Apple et du Citizen Lab dans les frameworks Image I/O et Wallet. Apple a corrigé les failles de diverses versions de logiciels, notamment macOS Ventura, iOS, iPadOS et watchOS. Il s’agit du treizième jour zéro qu’Apple fixe cette année pour protéger ses appareils.

Plus en détail:

Les deux vulnérabilités Zero Day, CVE-2023-41064 et CVE-2023-41061, ont été activement exploitées dans le cadre d'une chaîne d'exploitation sans clic pour diffuser le logiciel espion Pegasus sur des iPhones entièrement corrigés. Ces bogues ont permis aux auteurs de menaces d’exécuter du code arbitraire sur des appareils iPhone et iPad non corrigés.

CVE-2023-41064 est une vulnérabilité de dépassement de tampon déclenchée lors du traitement d'images conçues de manière malveillante, tandis que CVE-2023-41061 est un problème de validation qui peut être exploité via des pièces jointes malveillantes.

Apple a pris des mesures rapides pour remédier à ces vulnérabilités en publiant des mises à jour de sécurité pour macOS Ventura, iOS, iPadOS et watchOS. Les mises à jour incluent des améliorations de la logique et de la gestion de la mémoire pour atténuer les risques posés par ces zero-days.

De plus, Citizen Lab, un organisme de recherche à but non lucratif, a exhorté les clients Apple à mettre rapidement à jour leurs appareils pour garantir leur sécurité. Ils ont également encouragé les personnes susceptibles d’être exposées à des attaques ciblées en raison de leur identité ou de leur profession à activer le mode verrouillage. Cette couche de protection supplémentaire peut aider à protéger les données sensibles et à empêcher tout accès non autorisé.

La collaboration de Citizen Lab avec Apple dans la découverte de ces jours zéro met en évidence les efforts continus visant à améliorer les mesures de sécurité et à protéger les utilisateurs contre les menaces sophistiquées. Apple a démontré un engagement ferme à corriger rapidement les vulnérabilités et à garantir la sécurité de ses appareils.

