Apple publie des mises à jour urgentes pour l’iPhone, Aucune pour la faille de Pegasus

0

Les utilisateurs d’iPhone doivent mettez à jour maintenant : Apple a émis un avertissement concernant une multitude de vulnérabilités d’exécution de code – dont certaines sont exploitables à distance – et les experts recommandent vivement une mise à jour dès que possible vers la version 14.7 d’iOS et iPadOS.

Malheureusement, vous n’obtenez pas de correctif pour la faille qui fait de votre iPhone une proie facile pour le logiciel espion Pegasus. Les médias en ont beaucoup parlé récemment, une faille zero-day dans la fonctionnalité iMessage d’Apple est exploité par le célèbre logiciel espion mobile Pegasus de NSO Group.

Les correctifs corrigent un total de 40 vulnérabilités, dont 37 dans les iPhones. La plus grave des failles pourrait permettre l’exécution de code arbitraire avec des privilèges noyau ou root. Voir ci-dessous pour une liste complète des vulnérabilités et leurs détails.

En plus de corriger d’autres vulnérabilités non associées à Pegasus dans iOS et iPadOS, les mises à jour de sécurité ont également éliminé des bogues dans macOS Big Sur 11.5 et dans macOS Catalina.

Heureusement, pour l’instant, il n’y a aucun rapport sur l’exploitation de ces vulnérabilités dans la nature. Mais comme l’a noté MS-ISAC, le centre d’analyse et de partage d’informations multi-états, le risque pour les grandes et moyennes entités gouvernementales et commerciales est jugé élevé. Les failles sont classées comme étant de risque moyen pour les petites entreprises ou les entités gouvernementales, tandis que le risque pour les utilisateurs à domicile est considéré comme faible.

WebKit : le petit moteur qui pourrait… exploser

En ce qui concerne les mises à jour de sécurité dans iOS 14.7 et iPad 14.7, quatre d’entre elles sont dans WebKit, le moteur qui alimente le navigateur Safari d’Apple. Tous les quatre pourraient conduire à l’exécution de code arbitraire. L’exploitation obligerait un utilisateur à télécharger du contenu Web conçu de manière malveillante.

Les vulnérabilités – CVE-2021-30758, CVE-2021-30795, CVE-2021-30797 et CVE-2021-30799 – sont dues à des problèmes de confusion de type, use-after-free et de corruption de mémoire dans WebKit.

IOS 14.7 corrige également un problème connu – CVE-2021-30800 – où rejoindre un réseau Wi-Fi malveillant peut entraîner un déni de service ou l’exécution de code arbitraire.

40 vulnérabilités qui sont maintenant corrigées

Vous trouverez ci-dessous des détails sur les 40 vulnérabilités d’Apple macOS/iOS:

  • Un raccourci peut contourner les exigences d’autorisation Internet en raison d’un problème de validation d’entrée dans ActionKit (CVE-2021-30763)
  • Un problème de corruption de mémoire dans le noyau AMD peut entraîner l’exécution de code arbitraire avec les privilèges du noyau (CVE-2021-30805)
  • L’ouverture d’un fichier conçu de manière malveillante peut entraîner la fermeture inattendue d’AppKit ou l’exécution de code arbitraire (CVE-2021-30790)
  • Un attaquant local peut provoquer la fermeture inattendue d’une application ou l’exécution de code arbitraire via Audio (CVE-2021-30781)
  • Un problème de corruption de mémoire dans AVEVideoEncoder peut entraîner l’exécution de code arbitraire avec les privilèges du noyau (CVE-2021-30748)
  • Une application malveillante peut obtenir les privilèges root en raison d’un problème de corruption de mémoire dans Bluetooth (CVE-2021-30672)
  • Le traitement d’un fichier audio conçu de manière malveillante peut entraîner l’exécution de code arbitraire en raison d’un problème de corruption de mémoire dans CoreAudio (CVE-2021-30775)
  • La lecture d’un fichier audio malveillant peut entraîner la fermeture inattendue de l’application en raison d’un problème logique avec la validation d’entrée dans CoreAudio (CVE-2021-30776)
  • L’ouverture d’un fichier PDF conçu de manière malveillante peut entraîner la fermeture inattendue d’une application ou l’exécution de code arbitraire en raison d’une condition de concurrence dans CoreGraphics (CVE-2021-30786)
  • Une application malveillante peut être en mesure d’obtenir des privilèges root via CoreServices, et un processus en bac à sable peut être en mesure de contourner les restrictions (CVE-2021-30772, CVE-2021-30783)
  • Une application malveillante peut obtenir des privilèges root en raison d’un problème d’injection dans CoreStorage (CVE-2021-30777)
  • Le traitement d’un fichier de police conçu de manière malveillante peut entraîner l’exécution de code arbitraire ou la divulgation de la mémoire de processus en raison de lectures hors limites dans CoreText (CVE-2021-30789, CVE-2021-30733)
  • Une application malveillante peut être en mesure d’obtenir des privilèges root en raison d’un problème de logique dans Crash Reporter (CVE-2021-30774)
  • Une application malveillante peut obtenir des privilèges root en raison d’un problème d’écriture hors limites dans CVMS (CVE-2021-30780)
  • Un processus en bac à sable peut contourner les restrictions du bac à sable en raison d’un problème logique dans dyld (CVE-2021-30768)
  • Une application malveillante peut être en mesure d’accéder à Find My data en raison d’un problème d’autorisations (CVE-2021-30804)
  • Le traitement d’un fichier de police conçu de manière malveillante peut entraîner l’exécution de code arbitraire en raison de débordements d’entiers et de piles dans FontParser (CVE-2021-30760, CVE-2021-30759)
  • Le traitement d’un fichier tiff conçu de manière malveillante avec FontParser peut entraîner un déni de service ou potentiellement divulguer le contenu de la mémoire (CVE-2021-30788)
  • Une application malveillante peut être en mesure d’accéder aux contacts récents d’un utilisateur en raison d’un problème d’autorisations dans les services d’identité (CVE-2021-30803)
  • Une application malveillante peut contourner les contrôles de signature de code en raison d’un problème de validation de signature de code dans Identity Services (CVE-2021-30773)
  • Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire en raison d’une faille use-after-free dans le traitement d’images (CVE-2021-30802)
  • Le traitement d’une image construite de manière malveillante peut conduire à l’exécution de code arbitraire en raison d’un débordement de tampon dans ImageIO (CVE-2021-30779, CVE-2021-30785)
  • Une application peut provoquer l’arrêt inattendu du système ou l’écriture de la mémoire du noyau en raison d’un problème dans le pilote graphique Intel (CVE-2021-30787)
  • Une application peut être en mesure d’exécuter du code arbitraire avec les privilèges du noyau en raison d’un problème d’écriture hors limites dans le pilote graphique Intel (CVE-2021-30765, CVE-2021-30766)
  • Une application non privilégiée peut être en mesure de capturer des périphériques USB en raison d’un problème dans IOUSBHostFamily (CVE-2021-30731)
  • Un attaquant local peut être en mesure d’exécuter du code sur la puce de sécurité Apple T2 en raison de plusieurs problèmes logiques dans IOKit (CVE-2021-30784)
  • Une application peut être en mesure d’exécuter du code arbitraire avec les privilèges du noyau en raison de problèmes de logique dans la gestion des états et de problèmes de double liberté dans le noyau (CVE-2021-30703, CVE-2021-30793)
  • Un attaquant malveillant avec une capacité de lecture et d’écriture arbitraire peut être en mesure de contourner l’authentification du pointeur en raison d’un problème de logique du noyau (CVE-2021-30769)
  • Un attaquant qui a déjà réalisé l’exécution du code du noyau peut être en mesure de contourner les atténuations de la mémoire du noyau en raison d’un problème de logique du noyau (CVE-2021-30770)
  • Une application malveillante peut contourner les préférences de confidentialité en raison de problèmes d’autorisation dans Kext Management (CVE-2021-30778)
  • Une application malveillante ou un processus en bac à sable peut être en mesure de sortir de son bac à sable ou de ses restrictions en raison de problèmes de nettoyage de l’environnement et de restriction d’accès dans LaunchServices (CVE-2021-30677, CVE-2021-30783)
  • Un attaquant distant peut provoquer l’exécution de code arbitraire en raison d’un problème dans libxml2 (CVE-2021-3518)
  • Plusieurs problèmes ont été trouvés dans libwebp (CVE-2018-25010, CVE-2018-25011, CVE-2018-25014, CVE-2020-36328, CVE-2020-36329, CVE-2020-36330, CVE-2020-36331)
  • Le traitement d’une image conçue de manière malveillante peut entraîner un déni de service en raison d’un problème logique dans le modèle d’E/S (CVE-2021-30796)
  • Le traitement d’une image conçue de manière malveillante peut entraîner l’exécution de code arbitraire en raison d’une écriture hors limites dans le modèle d’E/S (CVE-2021-30792)
  • Le traitement d’un fichier conçu de manière malveillante peut divulguer des informations sur l’utilisateur en raison d’une lecture hors limites dans le modèle d’E/S (CVE-2021-30791)
  • Une application malveillante peut être en mesure d’accéder à des fichiers restreints en raison d’un problème dans Sandbox (CVE-2021-30782)
  • Une application malveillante peut être en mesure de contourner certaines préférences de confidentialité en raison d’un problème de logique dans TCC (CVE-2021-30798)
  • Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire en raison de problèmes de confusion de type, de use-after-free et de corruption de mémoire dans WebKit (CVE-2021-30758, CVE-2021-30795, CVE-2021-30797, CVE-2021-30799 )
  • Rejoindre un réseau Wi-Fi malveillant peut entraîner un déni de service ou l’exécution de code arbitraire (CVE-2021-30800)

Mettez vos appareils Apple à jour maintenant

Le MS-ISAC a recommandé aux utilisateurs d’Apple à appliquer les correctifs appropriés aux systèmes vulnérables « immédiatement après les tests appropriés ».

C’est simple : accédez à Paramètres > Général > Mise à jour du logiciel et suivez les instructions.

Dans un e-mail de conseil, MS-ISAC a proposé ces recommandations:

  • Exécutez tous les logiciels en tant qu’utilisateur non privilégié (un sans privilèges administratifs) pour diminuer les effets d’une attaque réussie.
  • Rappelez aux utilisateurs de ne pas télécharger, accepter ou exécuter des fichiers provenant de sources non fiables et inconnues.
  • Rappelez aux utilisateurs de ne pas visiter des sites Web non fiables ou de suivre des liens fournis par des sources non fiables ou inconnues.
  • Évaluez les autorisations de lecture, d’écriture et d’exécution sur tous les logiciels nouvellement installés.
  • Appliquer le principe du moindre privilège à tous les systèmes et services.

Apple a publié la mise à jour d’iOS 14.7 la semaine dernière, mais la société a conservé la liste cruciale des détails des correctifs de sécurité qui accompagnent généralement les mises à niveau d’iOS. Comme à son habitude, la société a retenu les détails afin de protéger les clients, leur donnant la possibilité de se mettre à jour avant de laisser le linge sale aux attaquants.

Pendant ce temps, la mise à jour pour iPadOS est maintenant disponible: iPadOS 14.7 a été publié avec les détails de sécurité la semaine dernière.

Il est temps d’examiner la réputation de sécurité de l’iPhone

Oliver Tavakoli, CTO de la société de cybersécurité Vectra, a noté que le marketing d’Apple sur la sécurité et la confidentialité – « qui est soutenu par les actions qu’ils ont réellement prises » – a entraîné l’adoption des iPhones par des militants, des politiciens et des journalistes « à un rythme qui dépasse considérablement l’adoption par le grand public.

En est-il de même pour les terroristes et les criminels – les cibles présumées du groupe NSO? C’est « à débattre », a déclaré Tavakoli. Quoi qu’il en soit, la prolifération des iPhones par ceux appartenant à des groupes historiquement ciblés par les logiciels espions nous oblige à braquer les projecteurs sur la question de savoir si la sécurité d’Apple peut supporter le poids de la protection de ces personnes.

« Étant donné que les clients de NSO veulent avoir la possibilité de surveiller les appareils Apple, il est assez clair que NSO consacre des efforts substantiels à des exploits pour la plate-forme iOS », a-t-il déclaré.

Pour ne pas être trop dur avec Apple : les logiciels auront toujours des failles, en particulier avec de plus en plus de fonctionnalités ajoutées à une plate-forme. Mais Tavakoli estime que les exploits sans clic qui peuvent être effectués par de parfaits inconnus (plutôt que par quelqu’un de votre liste de contacts qui a déjà été compromis) sont « dans une classe à part ».

Apple ne devrait pas simplement corriger la vulnérabilité d’iMessage « avec un sentiment d’urgence », a-t-il déclaré. L’entreprise « devrait également fournir des mécanismes qui réduisent la surface d’attaque disponible pour les personnes ne figurant pas sur votre liste de contacts ».

Dirk Schrader de New Net Technologies est d’accord : « Aucun appareil et aucun système d’exploitation n’est exempt d’erreurs à 100% », a-t-il déclaré. C’est le cas du dernier bogue Wi-Fi pour les iPhones : ce type de bogue qui peut rapporter le gros lot sur les marchés d’exploitation, plus particulièrement pour les vulnérabilités iOS.

« Surtout pour les entreprises comme NSO, il est essentiel de conserver une liste des bogues exploitables, et le marché gris pour ces bogues est énorme, avec des montants au-dessus de 1 million de dollars payés pour les bogues exploitables identifiés dans iOS », a déclaré Schrader.

apple

Les programmes de bug bounty peuvent aider, mais ils ne fermeront pas ce marché et ses énormes gains, a-t-il poursuivi. Cela rend la correction du bogue d’iMessage cruciale : « La correction de ces bogues n’est pas facile », a noté Schrader. « NSO ne révélera certainement pas les détails, fournissant une divulgation responsable sur l’un de ses principaux actifs générant des revenus. Afin de rétablir cette prétention d’être l’appareil le plus sécurisé, il sera crucial pour Apple de trouver et de corriger le bogue le plus rapidement possible et de signaler les détails.

Sean Wright, ingénieur principal en sécurité des applications chez Immersive Labs, a qualifié la faille d’iMessage « d’inattendue », compte tenu de la réputation d’Apple en matière de sécurité. La société est consciente qu’il est utilisé par le logiciel espion Pegasus, bien qu’Apple ait déclaré qu’il n’y avait qu’un danger limité pour les individus. Mais cela ne signifie pas que, comme pour toute vulnérabilité, cela n’entraînera pas une plus grande probabilité de risque.

« Le problème est qu’il met en lumière l’application et que les éléments criminels découvrent comment l’exploiter à plus grande échelle », a déclaré Wright. « Cela impose à Apple de corriger le plus tôt possible. »

« Certains ont également critiqué ce qu’ils perçoivent comme un manque de transparence de la part de l’entreprise sur le problème », a poursuivi Wright. « Avec des appareils comme celui-ci étant au cœur de la vie de tant de personnes, ceux qui donnent le ton au secteur de la technologie sont généralement tenus à des normes élevées afin que les gens puissent prendre des mesures et se protéger efficacement. »

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire