Apple révèle seulement aujourd’hui de nouvelles failles de sécurité qui ont été bouchées avec iOS 16.3 et macOS 13.2, alors que les mises à jour sont disponibles depuis un mois. Il se trouve que deux d’entre elles sont notables puisqu’elles permettaient à une application de voler les données des utilisateurs.

iOS 16 Logo

Le centre de recherche avancée Trellix a découvert des failles d’exécution de privilèges dans iOS et macOS qui pouvaient être exploitées pour fouiller dans les messages, les données de localisation, les photos, l’historique des appels et plus encore d’un utilisateur d’iPhone ou de Mac.

Trellix s’explique sur les mesures d’atténuation qu’Apple a introduites pour la faille FORCEDENTRY en septembre 2021, avec celle-ci qui ne nécessitait aucune interaction de l’utilisateur. Il se trouve que les mesures pouvaient être contournées, ce qui permettait un énorme éventail de vulnérabilités potentielles.

Trellix a trouvé sa première faille dans le processus coreduetd. Elle pouvait être utilisée pour permettre à un hacker d’accéder au calendrier, au carnet d’adresses et aux photos d’un utilisateur. Des vulnérabilités dans OSLogService et NSPredicate ont pu être exploitées pour réaliser une exécution de code dans le Springboard, permettant aux attaquants d’accéder à l’appareil photo, au micro, à l’historique des appels et plus encore.

Les failles ont pour références CVE-2023-23530 et CVE-2023-23531. Apple indique que les failles ont été résolues « en améliorant la gestion de la mémoire », sans plus de précision.