Apple élimine des vulnérabilités Pwn2Own dans Safari, macOS et iOS

Apple a éliminé lundi 66 vulnérabilités dans 7 produits, dont Safari, iTunes, macOS et iOS.

Bon nombre de ces correctifs, plus spécialement dans macOS et Safari, éliminent des vulnérabilités découvertes à l’occasion de Pwn2Own, le concours de piratage organisé chaque année à CanSecWest. Les participants se sont partagés 143 000 dollars américains de prix pour avoir malmené les produits d’Apple dans le cadre du concours qui s’est tenu en mars.

La majorité des correctifs diffusés lundi élimine des vulnérabilités de corruption de la mémoire dans WebKit qui, dans de nombreux cas, peuvent mener à une exécution de code. Le moteur de navigateur Internet figure dans Safari et iOS, ainsi que dans iCloud pour Windows, iTunes pour Windows, tvOS et watchOS, qui ont tous fait l’objet d’une mise à jour lundi.

Lokihardt, qui a participé une fois à Pwn2Own et qui est désormais impliqué dans le Project Zero de Google a trouvé 7 des bogues de WebKit et 13 vulnérabilités au total dans Safari.

Samuel Groß et Niklas Baumstark, deux pirates allemands, ont quant à eux identifié 5 bogues, dont une vulnérabilité dans WebKit, un bogue dans DiskArbitration et trois bogues d’évasion de bac à sable dans Speech Framework et les fonctions de sécurité du système d’exploitation. Lors de Pwn2Own, les pirates ont exploité une vulnérabilité UAF dans Safari, trois bogues logiques et un déréférencement de pointeur null pour exploiter Safari et obtenir les privilèges d’accès root dans macOS. Dans le cadre de l’attaque, les pirates ont réussi à afficher le message spécial « PWNED BY NIKLASB & SAELO » sur la barre tactile d’un MacBook Pro.

La mise à jour macOS élimine également une série de bogues dans WindowServer, un composant chargé de la gestion des requêtes entre les applications OS X et le matériel graphique de l’ordinateur, découverts à l’occasion de Pwn2Own. Les pirates ont utilisé une vulnérabilité UAF dans le composant, 4 bogues de confusion de type dans Safari et une divulgation d’informations dans le navigateur afin d’obtenir les privilèges root dans macOS. La mise à jour de macOS élimine également des bogues de WindowServer identifiés par Richard Zhu et Keen Lab et les membres de l’équipe Team Sniper de PC Manager lors de Pwn2Own.

D’après Apple, 11 des vulnérabilités éliminées dans iOS auraient pu déboucher sur une exécution de code, soit par une application, du contenu Internet malveillant ou une requête SQL. Sept bogues dans macOS auraient peut être utilisés pour exécuter du code arbitraire. Une des vulnérabilités, détectée par Ian Beer de chez Google, aurait put permettre à une application d’exécuter un code arbitraire avec des privilèges au niveau du noyau.

Les mises à jour ont également éliminé une méchante fuite d’infos au niveau du noyau (CVE-2017-6987) qui avait été détectée par Patrick Wardle, directeur de recherche chez Synack. Ce bogue, que Patrick Wardle avait décrit en profondeur en avril existait dans macOS 10.12.3, mais également dans iOS, Apple TV (tvOS) et Apple Watch (watchOS). A l’époque, Patrick Wardle avait désigné le bogue comme une « vulnérabilité 0jour non corrigée », mais avait indiqué que l’audit d’accès au fichier devait être activé dans un système.

Quatre bogues dans SQLite, une bibliothèque C multiplateforme qui pilote un moteur SQL dans iOS, tvOS et watchOS ont également été corrigés. Ceux-ci avaient été détectés par OSS-Fuzz, un programme lancé par Google en décembre pour soumettre en continu les logiciels open source à des tests à données aléatoires. Google a déclaré que le programme avait débusqué plus de 1 000 bogues open source au cours des cinq derniers mois et qu’il s’agissait ici des premiers bogues détectés qu’Apple allait éliminer.

D’après les notes de version d’Apple, la mise à jour d’iOS se concentre principalement sur l’élimination des bogues et les améliorations du système d’exploitation. Mais la mise à jour pour macOS élimine également un problème qui survenait lors de la lecture de contenu audio via des écouteurs USB et améliore la compatibilité de macOs avec l’Apple Store d’Apple.

Le nombre de mises à jour est sensiblement inférieur à celui enregistré la dernière fois que les produits Apple avaient été mis à jour. En mars, la société avait éliminé 223 vulnérabilités, un quart desquelles aurait peut déboucher sur une exécution de code arbitraire. La mise à jour fait passer iOS à la version 10.3.2, macOS Sierra à la version 10.12.5, watchOS à la version 3.2.2, tvOS à la version 10.2.1, iCloud for Windows à la version 6.2.1, Safari à la version 10.1.1, iTunes for Windows à la version 12.6.1.

D’après Zero Day Initiative, qui contribue à l’organisation de Pwn2Own aux côtés de Trend Micro, 35 pour cent des bogues fixés par Apple cette semaine ont été débusqués via la compétition.

Dustin Childs, chargé de la communication pour Zero Day Initiative, a résumé les vulnérabilités dans son blogue le mardi et a rappelé que les crises du monde réel comme l’épidémie WannaCry de la semaine dernière peuvent être prévenues grâce à la gestion des correctifs.

Comme l’écrit Dustin Childs : « Apple n’indique pas si ces problèmes sont connus du public ou s’ils font l’objet d’une attaque active, mais comme des événements récents l’ont démontré, l’application de correctifs est importante. Certes, ce n’est pas la plus aisée des tâches, surtout quand la diffusion des correctifs se fait discrète. Ceci étant dit, les conséquences de la non-application de ces mises à jour pourrait coûter cher dans les mois à venir. »

Les mises à jour ont été diffusées le jour où Apple a annoncé qu’elle allait commencer à mettre de l’ordre dans les applications d’éditeurs tiers qui accèdent aux données iCloud des utilisateurs comme Microsoft Outlook. Dans un email envoyé mardi par son service d’assistance, Apple a déclaré qu’à partir du 15 juin, les utilisateurs devraient définir des mots de passe propres à ces applications.

Cette mesure de sécurité oblige les utilisateurs d’application non native à adopter l’authentification à deux facteurs pour les applications qui peuvent accéder à iCloud comme Outlook et Mozilla Thunderbird.

« Si vous êtes déjà connecté dans une application d’un éditeur tiers à l’aide du mot de passe de votre ID Apple principal, vous serez déconnecté automatiquement lorsque ce changement entrera en vigueur. Vous devrez alors créer un mot de passe propre à l’application et vous connecter à nouveau » peut-on lire dans l’email.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *