Urgence Mac : Apple corrige les graves vulnérabilités découvertes dans iOS

Le par  |  2 commentaire(s)
alerte

Les trois mêmes vulnérabilités ayant permis l'espionnage de l'iPhone sont désormais corrigées dans OS X et Safari.

Mises au jour par Citizen Lab et Lookout, les vulnérabilités - anciennement 0-day - de sécurité regroupées sous le nom de Trident ont largement fait parler d'elles la semaine dernière. Présentes dans iOS pendant plusieurs années, leur exploitation a permis l'espionnage de l'iPhone par un malware dénommé Pegasus.

apple_logoCe malware a été développé par la firme israélienne NSO Group spécialisée dans l'écoute de téléphonie mobile pour les États. Sa découverte a été presque fortuite suite à l'alerte donnée par un dissident politique aux Émirats arabes unis.

Comme on pouvait s'en douter, les fameuses failles corrigées dans iOS 9.3.5 sont également présentes dans OS X. Les deux systèmes d'exploitation partagent un socle de code commun. Le système d'exploitation pour ordinateur Mac a ainsi droit aujourd'hui à des mises à jour pour combler les vulnérabilités Trident.

Apple ne s'étale pas sur le sujet et livre ses patchs sans évoquer la dangerosité liée aux vulnérabilités. En l'occurrence, OS X El Capitan et Yosemite bénéficient de correctifs pour les failles CVE-2016-4655 et CVE-2016-4656 dans les zones mémoire du noyau et pour les manipuler.

L'autre faille CVE-2016-4654 est spécifique au moteur de rendu WebKit utilisé dans le navigateur Safari (il passe à une version 9.1.3 corrigée). Son exploitation permet d'exécuter du code arbitraire en consultant une page Web spécialement conçue. Elle a constitué le détonateur pour un jailbreak silencieux de l'iPhone.

Il y avait urgence à corriger les failles dans iOS. Il en va de même pour OS X. On imagine qu'Apple a aussi procédé à une correction dans macOS Sierra à venir à l'automne prochain. " Les vulnérabilités Trident utilisées par NSO auraient pu être utilisées en tant qu'arme contre des utilisateurs d'appareils non-iOS, dont OS X ", écrit Citizen Lab.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1920351
L'autre faille CVE-2016-4654 est spécifique au moteur de rendu WebKit utilisé dans le navigateur Safari [...]

Ah mais c'est "juste" Safari Mobile, pendant un instant j'ai cru que c'était vraiment tout Webkit qui était concerné (et donc Chrome)
Le #1920473
NSO ~ NSA... C'est volontaire ???
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]