ZecOps vient d’annoncer avoir découvert deux failles de sécurité jusque-là inconnues qui affectent l’application Courrier depuis iOS ou iPadOS. En exploitant les deux défauts, il est possible d’accéder à distance aux messages stockés dans l’application.

Un autre rappel de l’importance des mises à jour

Selon la société basée à San Francisco, l’une des deux vulnérabilités permet à un attaquant de compromettre la sécurité de l’appareil en envoyant un e-mail qui consomme une quantité importante de mémoire. La deuxième vulnérabilité, en revanche, permet l’exécution de code à distance sur l’appareil. Combiné, comme l’explique ZecOps, les deux vulnérabilités permettrait à un attaquant d’accéder, de modifier ou de supprimer des e-mails dans l’application Courrier.

Il semble que cette vulnérabilité affecte les appareils d’iOS 6 à iOS / iPadOS 13.4.1, la version actuelle. Apple a corrigé le bogue dans la dernière version bêta d’iOS 13.4.5 qui frappera le grand public dans les semaines à venir. Compte tenu de la situation, il est possible qu’Apple publier une mise à jour mineure, par exemple 13.4.2, avec les corrections nécessaires.

Selon ZecOps, l’utilisation de ces failles de sécurité est utilisée depuis janvier 2018, avec la version 11.2.2 d’iOS. Les cibles d’une attaque peuvent être des personnes, le gouvernement ou les dirigeants de grandes sociétés et de sociétés. Pour l’instant, la seule option, à part attendre une réponse rapide d’Apple, semble désactiver Mail (Paramètres> Notre nom> iCloud> Mail) sur l’appareil et accéder aux e-mails via icloud.com.

Il convient de noter que, conformément aux bonnes pratiques de l’industrie, ZecOps aurait dû accorder à Apple 90 jours pour résoudre la situation après l’avoir communiquée. Apparemment, la société a décidé sautez cette période pour faire part de vos constatations dès que possible à la communauté. Il convient de mentionner une décision qui pourrait avoir un impact négatif sur la sécurité des utilisateurs, car une mise à jour n’est pas encore disponible. Cependant, il est important de se rappeler qu’il s’agit d’une attaque qui doit être explicitement dirigée dans une direction spécifique, donc bien que le risque existe, il est moindre qu’il n’y paraît.

Comme nous l’avons expliqué à plusieurs reprises, les mises à jour du système d’exploitation vont bien au-delà des nouvelles fonctions: elles assurent la sécurité et la confidentialité de nos données. Si nous apprécions cette sécurité, la recommandation est de toujours garder nos appareils à jour.

La source : Appleinsider