Alerte mise à jour : Apple et Google comblent d’importantes failles de sécurité
Apple répare des failles de sécurité majeures dans iOS, macOS et watchOS. Ces corrections pourrait notamment mettre un terme au logiciel d’espionnage Pegasus. Google a également corrigé des failles de sécurité sur Chrome.
Grâce à une mise à jour pour iOS, macOS et watchOS, Apple répare diverses failles de sécurité qui ont été découvertes par des chercheurs en sécurité. L’une de ces faiblesses serait déjà activement exploitée par le logiciel d’espionnage Pegasus. Ce dernier provient du fabricant israélien NSO et est vendu aux acteurs étatiques. Il est programmé pour lutter contre le terrorisme, mais plusieurs pays l’utiliseraient également contre des opposants politiques et des journalistes.
Google a comblé des failles de sécurité non moins importantes sur le navigateur Chrome sur macOS, Windows et Linux. Elles sont au nombre de onze, dont dix de haute gravité. Des mises à jour sont apparues pour macOS, Windows et Linux.
Apple vs. Pegasus
Apple corrige certaines failles de sécurité dans iOS, macOS et watchOS. Des mises à jour sont disponibles pour iOS 14.8, macOS Big Sur 11.6 et watchOS 7.6.2. Elles doivent si possible être téléchargées directement après avoir lu cet article.
L’une des failles de sécurité a de grandes chances d’être exploitée par le logiciel espion Pegasus du fabricant israélien NSO. C’est du moins ce que les chercheurs en sécurité de Citzen Lab supposent. Le logiciel donne un accès complet aux données stockées, à l’appareil photo, au microphone et aux mots de passe.
Ladite faille fonctionne par le biais d’une installation zéro-clic de type « zéro-day ». En résumé, le logiciel espion s’installe de lui-même sans l’intervention de la victime. Citizen Lab a découvert des pièces jointes iMessage malveillantes, apparemment sous la forme de fichiers GIF, en réanalysant une sauvegarde d’iPhone provenant d’un activiste. Il s’agit toutefois de fichiers PDF et PSD déguisés en GIF contenant un code malveillant qui exploite une vulnérabilité du système CoreGraphics d’Apple connue sous le nom de « ForcedEntry ».
Citizen Lab pense que le code malveillant peut être l’œuvre de Pegasus, raison pour laquelle les chercheurs ont envoyé les informations sur la faille de sécurité à Apple le 7 septembre. Le 13 septembre, Apple a publié les mises à jour et a remercié Citizen Lab pour « l’obtention très difficile d’un exemple concret, un véritable exploit »
La mise à jour corrige un autre problème de sécurité avec WebKit pour iOS et macOS Big Sur qui pourrait être lié aux exploits NSO. Vous trouverez ici les notes de mise à jour pour iOS, macOS Big Sur et watchOS.
Google Chrome : onze failles de sécurité corrigées
Google a également comblé un certain nombre de failles de sécurité dans le navigateur Chrome : dix sur un total de onze sont graves. Les détails ne seront connus que lorsqu’un nombre suffisant d’appareils auront installé la mise à jour vers Chrome 93.0.4577.82 pour macOS, Windows et Linux. Google affirme avoir connaissance de l’existence et de l’utilisation active d’exploits pour les vulnérabilités CVE-2021-30632 et CVE-2021-30633 mentionnées dans les notes de publication.
Je vous recommande de mettre à jour votre appareil dès maintenant.
Le baiser quotidien de la muse stimule ma créativité. Si elle m’oublie, j’essaie de retrouver ma créativité en rêvant pour faire en sorte que mes rêves dévorent ma vie afin que la vie ne dévore mes rêves.