Apple a publié des mises à jour de sécurité pour les anciens iPhones afin de corriger une vulnérabilité Zero Day identifiée comme CVE-2023-41064 et activement exploitée pour infecter les appareils iOS avec le logiciel espion Pegasus de NSO.

CVE-2023-31064 est une faille d’exécution de code à distance qui est exploitée en envoyant des images malveillantes via iMessage.

Comme l’a rapporté Citizen Lab plus tôt ce mois-ci, CVE-2023-31064 et une deuxième faille identifiée comme CVE-2023-41061 ont été utilisées comme chaîne d’attaque sans clic baptisée BLASTPASS, qui consiste à envoyer des images spécialement conçues dans des pièces jointes iMessage PassKit pour installer des logiciels espions. .

Lorsque les téléphones ont reçu et traité la pièce jointe, le logiciel espion Pegasus de NSO a été installé, même sur les appareils iOS (16.6) entièrement corrigés.

Apple a publié des correctifs pour les deux failles avec macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 et watchOS 9.6.2, et la CISA a publié une alerte exigeant que les agences fédérales mettent à jour le correctif d’ici le 2 octobre 2023.

Les mises à jour de sécurité ont désormais été rétroportées sur iOS 15.7.9 et iPadOS 15.7.9, macOS Monterey 12.6.9 et macOS Big Sur 11.7.10 pour empêcher l’utilisation de cette chaîne d’attaque sur ces appareils.

Il convient de noter que la prise en charge d’iOS 15 a pris fin il y a un an, en septembre 2022, alors que le fournisseur prend toujours en charge Monterey et Big Sur.

Les mises à jour de sécurité couvrent tous les modèles d’iPhone 6s, l’iPhone 7, la première génération de l’iPhone SE, l’iPad Air 2, la quatrième génération de l’iPad mini et la septième génération de l’iPod touch.

Bien qu’aucune attaque n’ait été observée sur les ordinateurs macOS, la faille y est théoriquement exploitable également, l’application des mises à jour de sécurité est donc fortement recommandée.

Depuis le début de l’année, Apple a corrigé un total de 13 jours zéro exploités pour cibler des appareils exécutant iOS, macOS, iPadOS et watchOS, notamment :

  • Deux zero-days (CVE-2023-37450 et CVE-2023-38606) en juillet
  • Trois jours zéro (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439) en juin
  • Trois jours zéro supplémentaires (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
  • Deux jours zéro (CVE-2023-28206 et CVE-2023-28205) en avril
  • Un WebKit zero-day (CVE-2023-23529) en février

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *