Les mises à jour d'iOS et OS X de début de semaine n'avaient rien d'anodines. Parmi la longue liste de corrections de bugs de sécurité, Apple n'identifie pas le niveau de dangerosité. Pourtant, il s'avère que plusieurs forment un lot critique comparable à la vulnérabilité Stagefright d'Android qui avait fait tant parler d'elle à l'été 2015.
À l'origine de la découverte, la division sécurité Talos de Cisco pointe du doigt cinq vulnérabilités d'exécution de code à distance affectant le système d'exploitation pour ordinateur Mac et également celui de l'iPhone pour deux d'entre elles.
Comme Stagefright pour Android, une attaque est possible en exploitant des bugs en rapport avec la manière dont les systèmes d'exploitation d'Apple traitent des fichiers images pour le rendu dans une miniature. Notamment, des fichiers au format TIFF et BMP spécialement formés peuvent être utilisés pour une exécution de code à distance sur un appareil pris pour cible.
De tels fichiers pourraient être véhiculés en pièce jointe d'un email, depuis une page Web piégée voire via MMS. Chercheur en sécurité de Talos Cisco, Tyler Bohan parle d'un " bug extrêmement critique " et fait donc un parallèle avec Stagefright.
Les principaux soucis résident dans l'API ImageIO permettant aux applications de lire et écrire la plupart des formats de fichiers images, ainsi que l'API Core Graphics pour le rendu 2D. L'exécution d'un code exploit expose notamment à des fuites de données personnelles dont des identifiants stockés dans la mémoire de l'appareil.
Faute de sandboxing, la menace est plus grande pour un ordinateur Mac. Avec un iPhone, un attaquant devrait s'appuyer sur un jailbreak ou un exploit root pour en prendre le contrôle complet. La bonne nouvelle est que Apple propose donc des correctifs que ce soit avec OS X El Capitan 10.11.6, iOS 9.3.3 ou encore tvOS 9.2.2 et watchOS 2.2.2.
Ces mises à jour axées sur la sécurité ne sont ainsi pas à négliger. Par rapport à la situation avec Android, le point positif est que les mises à jour sont déployées beaucoup plus rapidement sur l'ensemble des appareils. Apple a le contrôle du logiciel et du matériel.
Pour Android, la découverte de la faille dite Stagefright avait donné le coup d'envoi de mises à jour de sécurité mensuelles.