En plus de corriger le bogue d'écoute clandestine FaceTime sur iPhone, iPad et Mac avec la mise à jour logicielle iOS 12.1.4 et la mise à jour supplémentaire macOS Mojave 10.14.3, Apple a également résolu un problème de sécurité majeur récemment trouvé dans son application Raccourcis pour iPhone et iPad..
Comme nous l'avons signalé la semaine dernière, l'application était en proie à un oubli majeur qui permettait à un attaquant de créer et de distribuer un raccourci malveillant qui collecterait des contacts, des adresses, des fichiers et d'autres données utilisateur et enverrait un fichier ZIP via iMessage à un attaquant en arrière-plan.
Bien que les notes de publication de l'App Store accompagnant la mise à jour actuelle des raccourcis 2.1.3 mentionnent uniquement des corrections de bugs et des améliorations non spécifiées, un document de support sur le site Web d'Apple propose des informations détaillées sur le contenu de sécurité de la mise à jour.
Par la présente, je libère le raccourci POC malveillant (https://t.co/xa2KGHGnLL) mentionné par
- Avimanyu Roy (@ AvimanyuRoy3) 31 janvier 2019
@twolivesleftand par @EdFromFreelance dans son article!
Fyi: apple ne traite pas cela comme un bug mais comme un comportement prévu "... alors oui ... :) laissez-le faire son travail.
Photos / vidéos ci-dessous (comme l'a souligné @bzamayo.
Le premier bogue a permis à un utilisateur local d'afficher des informations utilisateur sensibles en raison d'un problème d'analyse dans la gestion des chemins de répertoire qui a été résolu avec une validation de chemin améliorée.
L'autre faille, qui a contourné les restrictions du bac à sable d'Apple, a également été corrigée. Le document de sécurité remercie Avimanyu Roy d'avoir signalé ces problèmes.
"Nous tenons à remercier Sem Voigtländer de Fontys Hogeschool ICT pour leur aide", indique le document.
Les raccourcis sont téléchargeables gratuitement sur les App Stores.