Des chercheurs du Project Zero de Google, chargé de chasser les bogues dans les logiciels, ont découvert une poignée d'attaques iOS.
ZDNet a le rapport cette semaine. Quelques membres de Project Zero ont pu identifier six failles de sécurité liées à iOS. Cinq des six ont déjà publié un code de preuve de concept, ainsi que des démonstrations sur leur fonctionnement. Plus précisément, les chercheurs notent que ces exploits pourraient être gérés via le client iMessage.
Cependant, la bonne nouvelle est que les six exploits ont déjà été corrigés avec le lancement public d'iOS 12.4. Ainsi, bien que ces derniers problèmes de sécurité aient déjà été corrigés, ce qui réduit considérablement leur efficacité, il nous rappelle que rester à jour avec le logiciel que vous utilisez chaque jour est d'une importance vitale.
Il convient de noter que l'un des bogues dans ce cas est toujours gardé secret (du moins pour l'instant), car même si iOS 12.4 a corrigé les six, l'un des bus n'a pas été complètement résolu, du moins selon Natalie Silvanovich, l'un des chercheurs qui a découvert les bugs. Samuel Groß est l'autre chercheur qui a découvert les bugs.
Selon le chercheur, quatre des six bogues de sécurité peuvent conduire à l'exécution de code malveillant sur un appareil iOS distant, sans aucune intervention de l'utilisateur. Tout attaquant doit envoyer un message mal formé au téléphone d'une victime et le code malveillant s'exécutera une fois que l'utilisateur ouvrira et visualisera l'élément reçu.
Les quatre bogues sont CVE-2019-8641 (détails gardés confidentiels), CVE-2019-8647, CVE-2019-8660 et CVE-2019-8662. Les rapports de bogues liés contiennent des détails techniques sur chaque bogue, mais également du code de preuve de concept qui peut être utilisé pour créer des exploits.
Les cinquième et sixième bogues, CVE-2019-8624 et CVE-2019-8646, peuvent permettre à un attaquant de divulguer des données de la mémoire d'un appareil et de lire des fichiers sur un appareil distant - également sans interaction de l'utilisateur.
La chasse aux insectes peut entraîner des paiements lucratifs. Comme indiqué dans le rapport d'origine, ces types de vulnérabilités peuvent rapporter bien plus d'un million de dollars au chercheur. En tant que tel, il est probable que ce pool de problèmes de sécurité aurait pu rapporter plus de 5 millions de dollars, mais aurait également pu être évalué à 24 millions de dollars étant donné qu'ils travaillaient sur des versions récentes d'iOS.
Fondamentalement, assurez-vous de passer à iOS 12.4 dès que possible si vous ne l'avez pas déjà fait.