Une faille zero-click zero-day pour iPhone créée par le groupe NSO a été découverte.

 (citizenlab.ca)
9 points par kuroneko 2023-09-08 | 4 commentaires | Partager sur WhatsApp
  • Apple a recommandé à tous les utilisateurs de mettre immédiatement à jour vers iOS 16.6.1.
  • Citizen Lab a découvert la semaine dernière, sur l’appareil d’une personne employée par une organisation de la société civile, un exploit zero-click utilisé pour livrer Pegasus, le spyware mercenaire du groupe NSO.
  • Cette chaîne d’exploit, baptisée BLASTPASS, peut compromettre un iPhone équipé de la toute dernière version d’iOS (16.6) sans aucune interaction de l’utilisateur.
  • L’attaque passait par une pièce jointe PassKit contenant une image malveillante envoyée via iMessage.
  • Apple a publié deux CVE et a immédiatement déployé un correctif, en collaboration avec Citizen Lab, en publiant iOS 16.6.1 et iPasOS 16.6.1, où la faille est corrigée.
    • CVE-2023-41064 - Un problème de dépassement de tampon dans ImageIO pouvant permettre l’exécution de code arbitraire à partir d’une image
    • CVE-2023-41061 - Un problème de validation dans Wallet pouvant permettre l’exécution de code arbitraire à partir d’une pièce jointe
  • Il a également été indiqué que cette faille pouvait être bloquée par le mode Lockdown, et il est recommandé aux personnes susceptibles d’être exposées au risque d’activer le mode Lockdown.

À lire aussi

4 commentaires

 
kuroneko 2023-09-08

Encore une vulnérabilité zero-click dans le traitement d’images. Il faut croire que les formats d’image sont vraiment nombreux et très complexes...
L’ancienne vulnérabilité zero-click du groupe NSO provenait elle aussi du traitement d’images...

Quoi qu’il en soit, la réaction a été assez rapide.
Les vulnérabilités zero-click sont vraiment d’une gravité extrême, donc il est normal qu’elles soient corrigées vite.

Je l’ai mis sur la première ligne pour que tout le monde pense à faire la mise à jour.
 
kuroneko 2023-09-08

Résumé par IA du fil HN

  • Obscurity4340 : affirme que davantage de personnes devraient utiliser le mode Isolement sur iOS, car il désactive des processus en arrière-plan inutiles et élargit la surface d’attaque.
  • andrewia : souligne que le mode Isolement réduit légèrement le confort d’utilisation d’iOS et dégrade les performances JavaScript de Safari. Il propose un troisième mode pour trouver un équilibre entre sécurité et fonctionnalités.
  • Obscurity4340 : mentionne qu’iMessage pose trop de problèmes pour être utilisé en toute sécurité par tout le monde, car des exploits zero-day visant les numéros de téléphone se sont déjà produits par le passé.
  • sneak : estime qu’iMessage n’est pas sûr, car les sauvegardes iCloud incluent des clés de synchronisation qui ne sont pas chiffrées de bout en bout, ce qui permet à Apple d’accéder aux messages.
  • kbenson : explique que des attaquants peuvent annuler les avantages du mode Isolement en exploitant des options simples permettant de désactiver la sécurité. Il suggère qu’Apple a tiré les leçons d’anciens problèmes de Windows.
  • barryrandall : propose de permettre l’activation ou la désactivation de contrôles individuels pour iMessage, au lieu d’un mode Isolement qui bloque tout.
  • ruuda : évoque les similitudes entre cet exploit et le bug de parsing PDF de 2021 qui permettait d’exécuter du code via le décodage d’images.
  • hot_gril : rappelle un ancien jailbreak d’iOS 4 qui exploitait l’analyse d’images.
  • acdha : se dit déçu que des exploits comme celui-ci continuent de mettre en danger des militants, tout en étant impressionnants sur le plan technique.
  • TylerE : note que le mode Isolement peut bloquer cette attaque précise.
 
xguru 2023-09-08

Je suis en train de faire la mise à jour. Elle fait environ 250 Mo, donc le téléchargement est rapide.
 
semjei 2023-09-08

J’ai un XR, et c’est 166,4 Mo. J’imagine que ça varie un peu selon le modèle.