Google publie une liste de failles qui touchent tous les Macs, iPhone, iPad, Apple TV et Apple Watch

Google Project Zéro vient de dévoiler l”existence de six failles de sécurité 0-Day dite “zero click” qui touchent tous les iPhone, Macs, Apple Watch et Apple TV. Celles-ci permettent de lancer du code malveillant via les applications de messagerie sans intervention de l'utilisateur. Un patch est déjà disponible. 

iPhone pixel
Deux iPhone X/Xs et un Google Pixel 4 / Crédits : Ariel Hasanovic via Unsplash

Google Project Zero vient de publier une liste de vulnérabilités qui touchent à peu près tous les appareils Apple. Il s'agit de failles zero-day et zero-click qui résident principalement dans le composant de rendu des images ImageIO framework présent aussi bien dans iOS que dans macOS, watchOS et tvOS.

Autrement dit ces failles touchent à peu près tous les iPhone, iPad, macs, Apple Watch et Apple TV en circulation. Le problème, c'est que l'interface imageIO rend notamment les fichiers d'image dans les applications de messagerie. C'est là que le qualificatif de zero click prend tout son sens : il est possible de provoquer l'exécution de code arbitraire sur un appareil sans que l'utilisateur n'ait besoin de cliquer.

Pour cela, il suffit par exemple d'envoyer une image spécialement modifiée sur l'appareil, via une application de messagerie. En tout, six failles ont été découvertes dans imageIO et huit failles additionnelles – conséquence des premières – ont été découvertes dans un format tiers appelé OpenEXR. Pour les découvrir, les chercheurs expliquent avoir utilisé une technique dite de fuzzing.

Il s'agit de tester les vulnérabilités en faisant réagir diverses parties d'un logiciel à des données arbitraires, invalides, inattendues, et/ou aléatoires. Comme à leur habitude, les chercheurs de Project Zero ont averti Apple plusieurs semaines en amont de la publication du rapport. Apple a ainsi eu le temps de proposer un patch dans une mise à jour disponible sur tous les appareils concernés.

Lire également : Une faille WiFi touche plus d'un milliard d'iPhone et de smartphones Android, faites d'urgence la mise à jour

Du coup, il est vivement recommandé de lancer une recherche de mises à jour si vous possédez l'un de ces appareils.


Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers  !