Google a signalé deux failles zero-days d’iOS et donne deux raisons de plus aux utilisateurs de mettre à jour le système vers iOS 12.1.4 ; version qui corrige également le fameux bug FaceTime.
Un ingénieur en sécurité de Google a révélé que des pirates ont lancé des attaques contre des utilisateurs d’iPhone en utilisant deux vulnérabilités iOS. Les attaques se sont produites avant la publication par Apple d’iOS 12.1.4. Les deux vulnérabilités sont ce que les experts en sécurité appellent des « zero-days ».
La révélation est intervenue par un tweet de Ben Hawkes, chef d’équipe du Projet Zéro, l’équipe de sécurité d’élite de Google. Hawkes n’a pas révélé dans quelles circonstances les deux zero-days ont été utilisées.
Trois raisons urgentes d’installer iOS 12.1.4
Au moment de la rédaction du présent rapport, on ignore si les vulnérabilités (CVE CVE-2019-7286 et CVE-2019-7287) ont été utilisées pour des opérations de cybercriminalité banales ou pour des campagnes de cyberespionnage plus ciblées.
Selon le journal des modifications de sécurité d’iOS 12.1.4 d’Apple, CVE-2019-7286 a un impact sur le framework iOS Foundation, l’un des composants clés du système d’exploitation iOS.
Un attaquant peut exploiter une corruption de mémoire dans le composant iOS Foundation via une application malveillante pour obtenir des privilèges élevés.
La deuxième zero-day, CVE-2019-72867, a un impact sur le kit d’E/S, un autre framework de base iOS qui gère les flux de données E/S entre le matériel et le logiciel.
Un attaquant peut exploiter une autre corruption de mémoire dans ce framework via une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau.
Apple a crédité « un chercheur anonyme, Clement Lecigne de Google Threat Analysis Group, Ian Beer de Google Project Zero, et Samuel Groß de Google Project Zero » pour la découverte des deux vulnérabilités.
Aucun porte-parole d’Apple ou de Google n’a répondu aux demandes de commentaires de ZDNet avant la publication de cet article. Il est très peu probable que les deux sociétés se prononcent sur la question pour l’instant, car elles aimeraient toutes deux réduire au minimum les détails sur les zero-days et empêcher d’autres acteurs malveillants de comprendre le fonctionnement des vulnérabilités.
Il est conseillé aux utilisateurs d’iPhone de mettre à jour leurs terminaux vers iOS 12.1.4 dès que possible. Cette version corrige également le fameux bogue FaceTime qui permettait d’écouter d’autres utilisateurs grâce aux appels de groupe FaceTime.
