Apple corrige une vulnérabilité de traitement d’image « sans clic » de 0 jour dans iOS, macOS

Apple a publié aujourd’hui des mises à jour de sécurité pour iOS, iPadOS, macOS et watchOS afin de corriger les failles de sécurité Zero Day activement exploitées qui peuvent être utilisées pour installer des logiciels malveillants via une « image conçue de manière malveillante » ou une pièce jointe. Les mises à jour iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 et watchOS 9.6.2 corrigent les failles sur toutes les plates-formes Apple. Au moment d’écrire ces lignes, aucune mise à jour n’a été publiée pour les anciennes versions comme iOS 15 ou macOS 12.

Les failles CVE-2023-41064 et CVE-2023-41061 ont été signalées par le Citizen Lab de la Munk School of Global Affairs & Public Policy de l’Université de Toronto. Également surnommé « BLASTPASS », Citizen Lab affirme que les bogues sont graves car ils peuvent être exploités simplement en chargeant une image ou une pièce jointe, ce qui arrive régulièrement dans Safari, Messages, WhatsApp et d’autres applications propriétaires et tierces. Ces bugs sont également appelés vulnérabilités « zéro clic » ou « sans clic ».

Citizen Lab a également déclaré que le bug BLASTPASS était « utilisé pour diffuser le logiciel espion mercenaire Pegasus de NSO Group », le dernier d’une longue série d’exploits similaires qui ont été utilisés pour infecter des appareils iOS et Android entièrement corrigés.

Les utilisateurs inquiets de ce type de failles peuvent les atténuer de manière proactive en activant le mode de verrouillage sur leurs appareils iOS et macOS ; entre autres choses, il bloque de nombreux types de pièces jointes et désactive les aperçus des liens, les types de vecteurs d’attaque que les attaquants peuvent utiliser pour exploiter ces vulnérabilités « sans clic ».

« Nous pensons, et l’équipe d’ingénierie et d’architecture de sécurité d’Apple nous l’a confirmé, que le mode verrouillage bloque cette attaque particulière », a déclaré Citizen Lab.

Ces mises à jour seront probablement parmi les dernières à être publiées avant l’événement d’annonce de produit d’Apple en septembre la semaine prochaine , où nous prévoyons d’obtenir les dates de sortie pour iOS 17 , iPadOS 17 et éventuellement d’autres logiciels.