Apple a publié la version finale d’iOS 16.3 sur iPhone, d’iPadOS 16.3 sur iPad et de macOS 13.2 sur Mac il y a un mois maintenant. Toutefois, les failles de sécurité qui ont été corrigées avec ces versions ont été dévoilées par le constructeur il y a quelques jours. Deux d’entre elles permettaient à une application de voler les données personnelles des utilisateurs à leur insu.
Failles bouchées dans iOS 16.3 et macOS 13.2
C’est le centre de recherche avancée Trellix qui a déniché des failles d’exécution de privilèges dans iOS et macOS qui pouvaient être exploitées par des malveillants afin de fouiller dans les messages, les données de localisation, les photos, l’historique des appels, d’avoir accès à l’appareil photo et le microphone et à d’autres données sensibles, ainsi que la réinitialisation de l’iPhone ou du Mac d’un utilisateur. Trellix explique :
« La première vulnérabilité que nous avons trouvée dans cette nouvelle classe de bugs se localise dans coreduetd, un processus qui collecte des données sur le comportement de l’appareil. Un attaquant avec l’exécution de code dans un processus avec les droits appropriés, tels que Messages ou Safari, peut envoyer un NSPredicate malveillant et exécuter du code avec les privilèges de ce processus. Ce processus s’exécute en tant que root sur macOS et permet à l’attaquant d’accéder au calendrier, au carnet d’adresses et aux photos de l’utilisateur. »
Les failles en question ont pour références CVE-2023-23530 et CVE-2023-23531. Selon Apple, les failles ont été résolues « en améliorant la gestion de la mémoire ». Le constructeur n’a pas fourni plus de détails.
Ainsi, il est conseillé de télécharger et d’installer iOS 16.3.1 (sur votre iPhone), iPadOS 16.3.1 (sur votre iPad) et macOS 13.2.1 (sur votre Mac) afin d’éviter d’être victime d’une de ces failles et d’avoir vos données personnelles entre les mains des hackers.
