Google a aidé Apple à corriger six failles critiques dans iOS

L’équipe Project Zero a une nouvelle fois frappé et c’est un rival de Google qui est ciblé. Natalie Silvanovich et Samuel Gross, deux chercheurs en sécurité de la prestigieuse équipe Project Zero, ont révélé l’existence de six brèches de sécurité jugées critiques au sein d’iOS. Selon ZDNet, ces failles de sécurité auraient pu rapporter plus de 5 millions de dollars si elles avaient été vendues sur le marché de l’exploitation.

Quatre d’entre elles pouvaient être exploitées via l’application iMessage sans interaction de l’utilisateur, ce qui peut expliquer leur valeur élevée. Nommées CVE-2019-8641, CVE-2019-8647, CVE-2019-8660, et CVE-2019-8662, elles permettaient d’exécuter un code malveillant via un simple message envoyé à la victime. Les deux autres failles, CVE-2019-8624 et CVE-2019-8646, permettaient à des pirates d’exploiter des fuites de mémoire pour accéder à distance aux données de l’appareil, toujours sans interaction de l’utilisateur.

Apple a presque corrigé toutes les failles avec iOS 12.4

L’équipe Project Zero de Google a contacté Apple suite à cette découverte. Le géant de Cupertino a pu réagir avant qu’elles ne soient rendues publiques et apporter des correctifs. Les six vulnérabilités ont ainsi pu être corrigées avec la diffusion iOS 12.4, à l’exception d’une d’entre d’elle qui n’a pu être entièrement corrigée. Natalie Silvanovich et Samuel Gross ont donc décidé de publier les détails de cinq de ses six failles, exception faite de la vulnérabilité CVE-2019-8641.

Une décision qui permet à Apple d’avoir plus de temps pour apporter un correctif. En attendant, il est vivement conseillé de mettre à jour son iPhone ou iPad vers la version iOS 12.4. À noter que Natalie Silvanovich reviendra plus en détail sur ces failles à l’occasion du Black Hat, qui se tiendra début août à Las Vegas aux États-Unis.