Actualités

iOS : deux vulnérabilités existantes depuis au moins 2012 ! (“heap” don’t lie…)

C’est en tout cas ce que révèlerait le billet du groupe sécuritaire ZecOps : dès 2018, il a été observé deux failles qui seraient actives jusque sous iOS6 (soit, depuis, 2012, date de sortie publique initiale) et qui permettraient, par l’entremise de l’application Mail d’Apple, de véroler un système par l’envoi d’un simple mail.

 

La vulnérabilité permet d’exécuter du code à distance dans le contexte de MobileMail (iOS 12) ou maild (iOS 13). Une exploitation réussie de cette vulnérabilité permettrait à l’attaquant de divulguer, de modifier et de supprimer des e-mails. Une vulnérabilité supplémentaire du noyau fournirait un accès complet à l’appareil – nous soupçonnons que ces attaquants avaient une autre vulnérabilité. Cela fait actuellement l’objet d’une enquête“, est-il ainsi détaillé dans la FAQ dédié. Il est, également, précisé que l’e-mail n’a ni besoin d’avoir une taille spécifique ni d’être nécessairement ouvert par l’utilisateur, ce qui en fait une attaque subtile donc redoutable.

 

(Source : blog ZecOps)

 

Les vulnérabilités reposent sur la technique de l’heap overflow (dépassement ou débordement de tas) qui consiste, grosso modo, à surcharger la mémoire-tampon dans la zone du tas. L’une des failles est assez basique et permet de préparer le terrain en apposant automatiquement certaines données à l’avance comme le nom ou pseudo et le mot de passe de l’utilisateur. La seconde faille, quant à elle, permet d’actionner le mécanisme malicieux via une exécution du code à distance, sous le nom de “Remote heap overflow”.

Déclarées officiellement hier, le 22 Avril, les vulnérabilités ne sont, pour l’heure, pas colmatées en version iOS grand public (stable, comprenez) mais une rustine d’urgence est tout de même disponible pour ceux et celles pouvant appliquer la mise à jour (bêta) iOS 13.4.5. Et, dans l’attente, il est fortement recommandé de ne plus utiliser (si vous ne pouviez installer la bêta pour votre terminal iPhone ou fonctionnant sous iOS) l’application Mail mais d’opter pour, par exemple, Gmail ou encore Outlook qui ne sont pas impactés par ces deux failles… A veiller !

Source : ZecOps – 20 Avril 2020 – Apple : application “mail” affectée par deux vulnérabilités exploitant l’heap overflow.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020