dimanche, décembre 29, 2024

Apple publie un nouveau correctif pour l’iPhone zero-day exploité par des pirates

Apple a publié lundi une nouvelle version des systèmes d’exploitation de l’iPhone et de l’iPad pour corriger une vulnérabilité que les pirates exploitaient dans la nature, ce qui signifie qu’ils en profitaient pour pirater les appareils Apple.

Sur la page de mise à jour de sécurité, Apple a écrit qu’il « est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité ». C’est le langage utilisé par Apple lorsque quelqu’un alerte l’entreprise qu’il a observé des pirates exploitant un bogue contre des cibles dans le monde réel, par opposition à une vulnérabilité découverte par un chercheur dans un environnement contrôlé, pour ainsi dire.

Dans ce cas, Apple a crédité un chercheur anonyme pour la découverte et a également remercié Citizen Lab « pour son aide ». Citizen Lab est un groupe de recherche sur les droits numériques hébergé à la Munk School de l’Université de Toronto, connu pour avoir dénoncé l’utilisation abusive d’outils de piratage gouvernementaux tels que ceux créés par NSO Group.

Le porte-parole d’Apple, Scott Radcliffe, a déclaré à TechCrunch que la société n’avait rien à ajouter à part ce qui se trouvait dans les notes de publication. Bill Marczak, chercheur principal au Citizen Lab, a déclaré que lui et ses collègues n’avaient aucun commentaire pour le moment.

Ce dernier bogue était dans WebKit, le moteur de navigateur d’Apple utilisé dans Safari, et une cible historiquement populaire pour les pirates, car il peut ouvrir l’accès au reste des données de l’appareil.

En 2021, Motherboard a rapporté qu’au cours des quatre premiers mois de cette année-là, Apple avait corrigé sept bogues exploités dans la nature, dont six dans WebKit, un nombre que les experts considéraient comme élevé à l’époque.

Depuis, les choses se sont améliorées. Selon le décompte des vulnérabilités de TechCrunch, depuis janvier 2022, il y a eu neuf bogues dans iOS qui « pourraient avoir été activement exploités », dont quatre dans WebKit. Les autres étaient trois dans le noyau, le composant central du système d’exploitation ; un dans AppleAVD, le cadre de décodage audio et vidéo de la société ; et un dans IOMobileFrameBuffer, une extension du noyau.

Comme d’habitude, les chances qu’un utilisateur moyen d’iPhone soit ciblé par un jour zéro comme celui-ci sont minces, mais vous devez toujours mettre à jour votre téléphone.


Faites-vous des recherches sur les vulnérabilités des produits Apple ? Ou suivez-vous les pirates ciblant les iPhones ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram and Wire @lorenzofb, ou par e-mail [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.

Source-146

- Advertisement -

Latest