Quatorze failles ont été révélées dans une librairie de lecture et d’écriture d’images, qui est incluse dans tous les systèmes d’exploitation d’Apple. Dans les mains de pirates, elles auraient pu mener vers des attaques à distance indétectables.
Le chercheur en sécurité Samuel Gross de Google Project Zero vient d’ausculter la librairie « Image I/O », spécialisée dans la lecture et l’écriture d’images et qui se trouve dans tous les systèmes d’exploitation d’Apple : iOS, macOS, tvOS, watchOS. En utilisant la technique du fuzzing, qui consiste à modifier de manière aléatoire les entrées d’un système pour révéler des bugs, les experts ont trouvé six failles dans le code écrit par Apple et huit autres dans un composant tiers baptisé OpenEXR.
Cette moisson est d’autant plus remarquable que les vulnérabilités – qui ont toutes été corrigées depuis – avaient certainement un grand potentiel d’attaque, notamment au travers des applications de réseaux sociaux. « Il est probable qu’avec suffisamment d’efforts, certaines des vulnérabilités trouvées permettaient l’exécution de code à distance dans un scénario d’attaque zéro-clic [i.e. ne nécessitant pas l’action de l’utilisateur, NDLR]. Malheureusement, il est également probable que d’autres bogues restent ou seront découverts à l’avenir », explique Samuel Gross dans une note de blog. Il faut espérer que les pirates ne seront pas les premiers à les trouver. Des attaques zéro-clic ont récemment été détectées sur Mail, le client de messagerie d’iOS.
source : 01net