Apple vient de déployer une importante mise à jour de sécurité pour iOS et iPadOS, qui passent en version 16.6.1. Elle colmate deux brèches critiques, la première dans ImageIO (CVE-2023-41064), l’autre dans Wallet (CVE-2023-41061).
À chaque fois, la faille peut être exploitée par simple lecture d’un contenu spécialement conçu. Dans le cas d’ImageIO, une simple image. On comprend donc toute la dangerosité de la vulnérabilité, nécessitant la publication d’une révision mineure.
La faille dans ImageIO se retrouve également dans macOS, qui vient de recevoir une mise à jour 13.5.2 pour Ventura. Celle dans Wallet est aussi présente dans watchOS, dont la mouture 9.6.2 est disponible.
Le Citizen Lab de l’Université de Toronto (qui a participé à la découverte des failles) a publié un billet de blog. On y apprend notamment que le Lockdown Mode (ou mode Isolement) permet de bloquer cette attaque (ce que confirme Apple auprès de Citizen Lab), mais aussi que la faille est « activement exploitée pour diffuser le logiciel espion Pegasus de NSO Group ».
- Le mode Isolement d'iOS 16 réduit la surface d'attaque face aux spywares « mercenaires »
- 23 personnes, dont 7 ministres en exercice, identifiées comme « victimes » de Pegasus
Il est chaudement recommandé aux personnes concernées de mettre à jour leurs appareils aussi rapidement que possible.
