Il y a un nouveau jour zéro, vulnérabilité zéro-clic dans tous les types d'appareils Apple, qui comprend les Macs, iPhones, iPad, et WatchOS. La faille a été appelée FORCEDENTRY.
en relation: L’état de la vie privée d’Apple à ce jour en 2021
Comment était le FORCAGE d'Apple (CVE-2021-30860) zero-day divulgué, et qui l'a découvert?
Le zero-day a été découvert par des chercheurs de Citizen Lab lors d'une analyse du téléphone d'un activiste saoudien infecté par le logiciel espion Pegasus. La faille est un exploit zéro-clic contre iMessage, ciblant la bibliothèque de rendu d'images d'Apple.
Les chercheurs ont pu déterminer « que la société de logiciels espions mercenaires NSO Group a utilisé la vulnérabilité pour exploiter et infecter à distance les derniers appareils Apple avec le logiciel espion Pegasus ». On pense que FORCEDENTRY est utilisé depuis au moins février 2021.
Le groupe NSO est le fabricant de Pegasus, une application de logiciel espion avancé qui ou évasions racines périphériques infectés permettant le spyware de passer par des messages privés, activer le microphone et la caméra, et recueillir des informations sensibles.
Citizen Lab a dévoilé ses conclusions, y compris le code, à Apple. Suite à la divulgation officielle, la vulnérabilité a reçu l'identifiant CVE-2021-30860. Selon sa description officielle, c'est un problème qui pourrait conduire au traitement d'un PDF conçu de manière malveillante et à l'exécution de code arbitraire.
Jusqu'ici, seuls des détails techniques limités sont mis à disposition. Ce que l'on sait jusqu'à présent, c'est que l'exploit FORCEDENTRY fonctionne en exploitant une vulnérabilité de débordement d'entier dans la bibliothèque de rendu d'images d'Apple. (CoreGraphics).
Heureusement, une mise à jour est maintenant disponible pour CVE-2021-30860. Les utilisateurs d'Apple sont invités à mettre à jour leurs appareils immédiatement. Pour résoudre le problème, un débordement d'entier a été résolu avec une validation d'entrée améliorée, l'avis a révélé.
Pas la première faille zero-day zero-click de NSO Group
Il est à noter qu'une autre vulnérabilité zéro clic a été attribuée au groupe NSO dans 2019.
La faille a permis aux pirates de compromettre les appareils à l'aide du logiciel espion Pegasus. La vulnérabilité CVE-2019-3568 était un débordement de tampon dans la pile VOIP de WhatsApp. Il a permis l'exécution de code à distance via série spécialement conçu de paquets de SRTCP envoyé à un numéro de téléphone cible.
Il convient de mentionner que les exploits basés sur la faille se sont produits en appelant soit un iPhone vulnérable, soit un appareil Android via la fonction d'appel WhatsApp. En outre, les appels n'avaient pas besoin d'être répondus, et souvent disparu des journaux. Heureusement, le défaut a été supposé fixé.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi:
Alors, comment pouvons-nous retirer cela de nos téléphones????