Les anciens iPhone sont à mettre à jour en urgence

La semaine dernière, Apple a livré une salve de mises à jour iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 et watchOS 9.6.2. Dans le but de corriger deux vulnérabilités de sécurité faisant l'objet d'une exploitation active dans des attaques, elles couvrent l'iPhone 8 et les modèles ultérieurs du smartphone de la marque.

Désormais, Apple propose des mises à jour iOS 15.7.9, iPadOS 15.7.9, ainsi que macOS Monterey 12.6.9 et macOS Big Sur 11.7.10. Elles sont toujours guidées par un impératif de sécurité avec l'exploitation de la vulnérabilité CVE-2023-41064.

Pour l'iPhone, ce sont l'ensemble des modèles iPhone 6s, iPhone 7 et iPhone SE (1^re génération) qui sont concernés. À titre indicatif, de l'ordre de 13 % des iPhone actifs d'Apple disposent du système d'exploitation iOS 15 (81 % pour iOS 16).

Un signalement pour le spyware Pegasus

La vulnérabilité CVE-2023-41064 touche le framework Image I/O permettant aux applications de lire et d'écrire la plupart des formats de fichiers d'images. Apple écrit que la lecture d'une image malveillante spécialement conçue peut entraîner l'exécution d'un code arbitraire.

Le signalement émane du Citizen Lab de l'Université de Toronto qui a alerté sur un exploit de type 0-click ne nécessitant aucune interaction de l'utilisateur. Il s'agit de compromettre un iPhone et diffuser le spyware Pegasus développé par NSO Group qui vend un tel outil de surveillance à des gouvernements et autorités.

" Nous appelons cet exploit BLASTPASS, parce qu'il utilise une pièce jointe PassKit (Wallet) contenant une image malveillante, envoyée par iMessage. Lorsque l'iPhone a traité la pièce jointe, l'exploit a détourné le contrôle du framework BlastDoor d'Apple pour la sécurité avec iMessage ", a indiqué le Citizen Lab.

Des cibles de choix

Une compromission avait été découverte sur l'iPhone (fonctionnant avec iOS 16.6) d'une personne travaillant pour une organisation de la société civile basée à Washington.

Pour CVE-2023-41064, l'agence américaine de la sécurité des systèmes d'information (CISA) souligne que ce type de vulnérabilité est un " vecteur d'attaque fréquent pour les cyberacteurs malveillants " et présente des " risques importants pour l'entreprise fédérale. "