Apple a publié des mises à jour de sécurité d'urgence pour corriger deux vulnérabilités critiques iOS Zero Day que les cyberattaquants utilisent activement pour compromettre les utilisateurs d'iPhone au niveau du noyau.
Selon Bulletin de sécurité d'Apple publiés le 5 mars, les bogues de corruption de mémoire permettent tous deux aux acteurs malveillants dotés de capacités arbitraires de lecture et d'écriture du noyau de contourner les protections de la mémoire du noyau :
-
CVE-2024-23225 : Trouvé dans le noyau iOS
-
CVE-2024-23296 : Trouvé dans le composant RTKit
Alors qu'Apple, fidèle à son habitude, a refusé de fournir des détails supplémentaires, Krishna Vishnubhotla, vice-président de la stratégie produit chez le fournisseur de sécurité mobile Zimperium, explique que de telles failles présentent un risque exacerbé pour les individus et les organisations.
« Le noyau de n'importe quelle plate-forme est crucial car il gère toutes les opérations du système d'exploitation et les interactions matérielles », explique-t-il. "Une vulnérabilité qui permet un accès arbitraire peut permettre aux attaquants de contourner les mécanismes de sécurité, conduisant potentiellement à une compromission complète du système, à des violations de données et à l'introduction de logiciels malveillants."
Et ce n'est pas tout, les contournements de la protection de la mémoire du noyau sont une solution spéciale pour Cyberattaquants ciblant Apple.
« Apple dispose de protections solides pour empêcher les applications d'accéder aux données et aux fonctionnalités d'autres applications ou du système », déclare John Bambenek, président de Bambenek Consulting. "Le contournement des protections du noyau permet essentiellement à un attaquant de rooter le téléphone afin qu'il puisse accéder à tout, comme le GPS, l'appareil photo et le micro, ainsi que les messages envoyés et reçus en texte clair (c'est-à-dire Signal)."
Apple Bugs : pas seulement pour le rootkitting d’un État-nation
Le nombre de zero-day exploités par Apple s'élève jusqu'à présent à trois : en janvier, le géant de la technologie a corrigé un bug du jour zéro activement exploité dans le moteur du navigateur Safari WebKit (CVE-2024-23222), une erreur de confusion de types.
On ne sait pas clairement qui est à l'origine de l'exploitation dans cette affaire, mais les utilisateurs d'iOS sont devenus les principales cibles des logiciels espions ces derniers mois. L'année dernière, les chercheurs de Kaspersky ont découvert une série de failles Apple Zero Day (CVE-2023-46690, CVE-2023-32434, CVE-2023-32439) liées à Opération Triangulation, une campagne de cyberespionnage sophistiquée, probablement parrainée par l'État, qui a déployé des implants d'espionnage TriangleDB sur des appareils iOS auprès de diverses cibles gouvernementales et commerciales. Et les États-nations sont connus pour utiliser Zero-Day pour abandonner le logiciel espion Pegasus du groupe NSO sur les appareils iOS - y compris dans un récent campagne contre la société civile jordanienne.
Cependant, John Gallagher, vice-président de Viakoo Labs chez Viakoo, affirme que la nature des attaquants pourrait être plus banale et plus dangereuse pour les organisations quotidiennes.
« Les vulnérabilités Zero Day d'iOS ne concernent pas uniquement les attaques de logiciels espions parrainées par l'État, comme Pegasus », dit-il, ajoutant que pouvoir contourner les protections de la mémoire du noyau tout en disposant de privilèges de lecture et d'écriture est « aussi grave que possible ». Il note : « Tout acteur malveillant cherchant à se cacher voudra exploiter les exploits du jour zéro, en particulier sur les appareils très utilisés, tels que les smartphones, ou sur les systèmes à fort impact, tels que les appareils et applications IoT. »
Les utilisateurs Apple doivent mettre à jour vers les versions suivantes pour corriger les vulnérabilités avec une validation d'entrée améliorée : iOS 17.4, iPadOS 17.4, iOS 16.76 et iPad 16.7.6.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security
- :possède
- :est
- :ne pas
- 16
- 17
- 7
- a
- Capable
- accès
- accès
- activement
- acteurs
- ajoutant
- Supplémentaire
- à opposer à
- Visée
- Tous
- permettre
- permet
- an
- ainsi que
- tous
- Apple
- applications
- applications
- arbitraire
- SONT
- AS
- At
- attaquant
- Attaques
- BE
- car
- devenez
- va
- tous les deux
- infractions
- navigateur
- Punaise
- bogues
- mais
- contourner
- appareil photo
- Campagne
- CAN
- capacités
- maisons
- Réseautage et Mentorat
- civil
- complet
- compromis
- confusion
- connecté
- consulting
- Entreprises
- pourriez
- critique
- crucial
- dangereux
- données
- Infractions aux données
- déployé
- détails
- Compatibles
- découvert
- faire
- Goutte
- e
- urgence climatique.
- permettre
- erreur
- notamment
- essentiellement
- de tous les jours
- peut
- Explique
- Exploités
- exploitant
- exploits
- loin
- Fixer
- défauts
- Abonnement
- Pour
- formulaire
- trouvé
- De
- obtient
- géant
- Gouvernement
- gps
- Réservation de groupe
- Matériel
- Vous avez
- ayant
- he
- très
- HTTPS
- i
- ICON
- amélioré
- in
- Y compris
- individus
- contribution
- interactions
- Introduction
- iOS
- IOT
- iot devices
- iPad
- iPad
- iPhone
- IT
- Janvier
- John
- jpg
- juste
- Kaspersky
- Labs
- Nom de famille
- L'année dernière
- conduisant
- Allons-y
- Niveau
- Levier
- comme
- Probable
- malware
- gère
- Mars
- mécanismes
- Mémoire
- messages
- micro
- Breeze Mobile
- mobile Security
- mois
- PLUS
- Nature
- Notes
- maintenant
- nombre
- of
- code
- on
- uniquement
- d'exploitation
- le système d'exploitation
- Opérations
- or
- organisations
- Autre
- Pièce
- Pegasus
- Téléphone
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- l'éventualité
- représentent
- président
- empêcher
- privilèges
- Produit
- de voiture.
- Lire
- reçu
- récent
- libéré
- chercheurs
- Analyse
- s
- Safari
- dit
- sécurité
- envoyé
- Série
- grave
- devrait
- Signal
- smartphones
- So
- jusqu'à présent
- sophistiqué
- spécial
- espionnage
- spyware
- peuplements
- Stealth
- de Marketing
- STRONG
- tel
- combustion propre
- Système
- objectifs
- technologie
- géant de la technologie
- qui
- La
- Ces
- l'ont
- this
- menace
- acteurs de la menace
- trois
- à
- top
- oui
- deux
- type
- découvert
- Mises à jour
- Actualités
- d'utiliser
- utilisateurs
- en utilisant
- validation
- variété
- versions
- vice
- Vice-président
- vulnérabilités
- vulnérabilité
- souhaitez
- webkit
- bien connu
- tout en
- WHO
- sera
- comprenant
- écrire
- an
- zéphyrnet
- bug du jour zéro
- vulnérabilités zero-day
