Surprise, Apple n’a pas attendu les nouvelles moutures majeures qui arriveront dans les semaines qui viennent pour boucher deux brèches, dont une utilisée par le logiciel espion Pegasus.
Estampillée CVE-2021-30860 et présente dans Coregraphics, elle peut permettre une exécution de code arbitraire à distance par l’ouverture d’un document PDF spécialement conçu.
Cette vulnérabilité est considérée comme particulièrement dangereuse. Son exploitation ne réclame en effet aucune interaction de l’utilisateur (zero click). Elle a été repérée le mois dernier et baptisée FORCEDENTRY par les chercheurs de Citizen Lab. Selon eux, elle est activement exploitée depuis février au moins.
La société de sécurité donne en exemple le cas d’un iPhone appartenant à un activiste saoudien, avec une infection par Pegasus confirmée. L’arrivée du logiciel espion était passée par un fichier gif cachant un PDF, lequel contenait le code d’exploitation. Il suffisait que ledit gif s’affiche dans iMessage, vecteur d’exploitation.
Apple continue en parallèle de répéter que ces « attaques sont hautement sophistiquées, elles coûtent des millions de dollars à développer, ont souvent une durée de vie courte et sont utilisées pour cibler des individus spécifiques ».
La société ajoute : « nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données ». De fait, iOS 15 doit apporter des sécurités supplémentaires contre ce type de faille dans iMessage, puisque le mécanisme introduit dans iOS 14 (BlastDoor) ne suffit pas.
L’autre faille (CVE-2021-30858) est toute aussi sérieuse, puisqu’elle permet une exécution de code arbitraire en visitant une page web spécialement conçue. Apple indique avoir été notifiée d’une possible exploitation. La mise à jour des systèmes est donc chaudement recommandée.
