La mise à jour iOS d’hier est plus importante que nous l’imaginions, mise à jour bientôt !
Hier, Apple a publié iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 et watchOS 9.6.2, sans donner beaucoup de détails au-delà de la correction de bugs et de problèmes de sécurité indéterminés. Quelques heures plus tard, nous avons découvert que Ces mises à jour de sécurité sont bien plus importantes que nous avions imaginé.
Selon la Page des mises à jour de sécurité du site Web Appleles vulnérabilités corrigées par ces mises à jour ont permis prendre le contrôle d’un iPhone, iPad, Watch ou Mac à distance avec quelque chose d’aussi simple que afficher une image.
Un fichier image préparé à l’origine du problème permettait l’exécution de code après un débordement de pile, quelque chose de très typique et classique depuis des décennies dans de nombreux systèmes informatiques. Cela peut être utilisé par exemple pour ouvrir une porte dérobée par laquelle extraire des données d’un iPhone ou lui faire faire autre chose. Apple a corrigé un composant appelé ImageIO pour résoudre ce problème. L’image a été chargée via l’application Wallet, en l’envoyant au préalable, par exemple via iMessage dans l’application Messages.
Selon Citizen Lab, cette vulnérabilité fait partie d’une chaîne de bugs activement utilisés dans la communauté des hackers dédiés à ces tâches, appelés PASS BLAST. Il a par exemple été utilisé pour installer le logiciel espion Pegasus du groupe NSO.