Apple a publié un message urgent Sécurité mise à jour pour les utilisateurs d’iPhone pour aider la publicitéréressasser deux vulnérabilités critiques qui, selon lui, pourraient déjà affecter les appareils.
L’important’ iOS 14.8 la mise à jour a été publiée le lundi (13 septembre), quelques jours avant le déploiement prévu d’iOS 15.
Un message d’Apple a déclaré à ses clients iPhone : « Cette mise à jour fournit une mise à jour de sécurité importante et est recommandée pour tous les utilisateurs. »
Cela survient après que des chercheurs indépendants aient mis en garde contre un exploit logiciel, qui pourrait affecter les utilisateurs même s’ils n’ouvrent pas de lien ou de fichier.
Selon Forbes, la première sécurité publiée corrigée dans IOS 14.8 est une « vulnérabilité dans Apple CoreGraphics framework, où le traitement d’un PDF construit de manière malveillante peut permettre à un attaquant d’exécuter du code ».
La seconde est dans la pomme WebKit moteur de navigateur, où « le traitement de contenu Web malveillant pourrait permettre à un adversaire d’exécuter du code ».
Chercheurs du Citizen Lab de l’Université de Toronto a déclaré que l’exploit était utilisé depuis février et était utilisé pour déployer Pegasus, le logiciel espion fabriqué par la société israélienne NSO Group – qui 7Actualités rapports était aurait été utilisé pour surveiller des journalistes et des défenseurs des droits de l’homme dans divers pays.
Citizen Lab a dit mentionné ils ont trouvé des fichiers image malveillants partagé via iMessage instantané aux téléphones, qui ont ensuite été piratés par le logiciel espion Pegasus, avertissant que le CoreGraphics La vulnérabilité PDF est un problème de zéro clic – quelque chose que est particulièrement grave car il ne nécessite aucune interaction de la part de l’utilisateur de l’appareil pour télécharger des logiciels malveillants sur le téléphone.
Sur le Site d’assistance Apple, un récapitulatif des modifications apportées à la mise à jour pour le CoreGraphics le cadre explique : « Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération).
« Impact : le traitement d’un PDF conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport indiquant que ce problème pourrait avoir été activement exploité.
« Description : un débordement d’entier a été résolu avec une validation d’entrée améliorée. »
Il ajoute des changements pour le WebKit moteur de navigation : « Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération).
« Impact : le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport indiquant que ce problème pourrait avoir été activement exploité.
« Description : un problème d’utilisation après la gratuité a été résolu grâce à une meilleure gestion de la mémoire. »
Le chef de la sécurité d’Apple, Ivan Krstic, a publié une déclaration disant que ‘après avoir identifié la vulnérabilité utilisée par cet exploit pour iMessage, Apple a rapidement développé et déployé un correctif dans iOS 14.8 pour protéger nos utilisateurs‘.
Dans un rapport à LADbible, Groupe NSO mentionné: « NSO Group continuera à fournir aux agences de renseignement et d’application de la loi du monde entier des technologies qui sauvent des vies pour lutter contre le terrorisme et le crime. »
.