jeudi, 23 septembre 2021

Apple tire la sonnette d’alarme avec une mise à jour d’urgence multi-OS pour corriger une faille sans clic

Crédit : Dreamstime

Apple a fourni des mises à jour de sécurité d’urgence pour iOS, macOS et ses autres os pour boucher un trou qui, selon des chercheurs canadiens, avait été planté sur le gadget d’un activiste politique saoudien par NSO Group, un vendeur israélien de logiciels espions et de logiciels de surveillance aux gouvernements fédéraux et à leurs sociétés de sécurité.

Mises à jour pour corriger le la vulnérabilité sous-active-exploit a été publiée pour iOS 14; macOS 11 et 10, alias Huge Sur et Catalina, respectivement ; iPad OS 14 ; et watchOS 7.

Selon Apple, la vulnérabilité peut être exploitée en  » traitant un PDF construit de manière malveillante « , ce qui  » pourrait entraîner l’exécution de code arbitraire.  » L’expression  » exécution de code approximative  » est la façon dont Apple déclarant que le bogue était de la nature la plus grave; Apple ne classe pas le niveau de menace des vulnérabilités, contrairement aux concurrents des systèmes en cours d’exécution tels que Microsoft et .

Apple a crédité The Laboratoire résident pour avoir signalé le défaut.

Lundi, Resident Lab, une organisation de chiens de garde de cybersécurité qui opère à partir de la Munk School of Global Affairs & Public Policy de l’Université de Toronto, a publié un rapport détaillant ce qu’il a trouvé .  » En évaluant le téléphone d’un activiste saoudien contaminé par le logiciel espion Pegasus de NSO Group, nous avons découvert un exploit zero-day zero-click contre iMessage « , ont composé les scientifiques de Citizen Lab.

L’exploit, que Person Lab a appelé  » FORCEDENTRY « , avait en fait été utilisé pour infecter le téléphone de l’activiste – et peut-être d’autres dès février 2021 – avec la suite de surveillance  » Pegasus  » du groupe d’ONG. Il, à son tour, se compose en grande partie de logiciels espions qui peuvent documenter les textes et les e-mails envoyés vers et depuis le gadget ainsi que d’allumer sa caméra et son microphone pour un enregistrement secret.

Person Lab était convaincu que FORCEDENTRY était connecté. avec Pegasus et donc, NGO Group. Selon les chercheurs, le logiciel espion chargé par l’exploit zero-click incluait des qualités de codage, consistant en celles qui n’avaient jamais été rendues publiques, que Resident Lab avait rencontrées dans une analyse précédente de NGO Group et de Pegasus.

 » En dépit de garantissant à leurs clients le plus grand secret et la plus grande confidentialité, le modèle d’organisation de NSO Group contient les germes de leur démasquage continu », a écrit le chercheur de Citizen Labs dans son rapport de lundi.  » Vendre une technologie aux gouvernements fédéraux qui utiliseront l’innovation de manière imprudente en violation du droit mondial des droits de l’homme aide finalement à découvrir le logiciel espion par des organisations de surveillance. « 

Les propriétaires de gadgets Apple peuvent télécharger et installer le logiciel de sécurité uniquement. mises à jour fournies lundi en activant une mise à niveau d’application logicielle via le système d’exploitation de l’appareil.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici