Apple corrige un bogue zéro‑day permettant des captures d’écran secrètes

Vous feriez bien d'effectuer une mise à jour vers macOS Big Sur 11.4 dès maintenant.

Vous feriez bien d’effectuer une mise à jour vers macOS Big Sur 11.4 dès maintenant.

Apple a déployé des mises à jour pour corriger une ribambelle de failles de sécurité, dont trois failles zéro-day qui sont activement exploitées dans la nature. Deux de ces failles affectent tvOS utilisé pour les offres Apple TV 4k et Apple TV HD, tandis que la troisième réside dans le système d’exploitation macOS Big Sur qui alimente la gamme d’ordinateurs portables et de bureau d’Apple.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », peut-on lire dans le bulletin de sécurité du géant technologique décrivant les failles dans macOS Big Sur et tvOS, respectivement.

Répertorié sous le nom de CVE-2021-30713, la faille zéro-day dans macOS Big Sur pourrait permettre à un attaquant de contourner le Transparency Consent and Control Framework d’Apple qui invite les utilisateurs à demander la permission chaque fois qu’une action ou une demande de permission par une application a un impact direct sur leur vie privée.

« Il s’agit du système qui contrôle les ressources auxquelles les applications ont accès, par exemple en accordant aux logiciels de collaboration vidéo l’accès à la webcam et au microphone, afin de participer à des réunions virtuelles. L’exploit en question pourrait permettre à un attaquant d’obtenir un accès complet au disque, un enregistrement de l’écran ou d’autres autorisations sans avoir besoin du consentement explicite de l’utilisateur – ce qui est le comportement par défaut », précise l’équipe de détection de Jamf, qui a découvert le contournement en creusant dans le logiciel malveillant XCSSET.

Selon le Jamf, une fois que le logiciel malveillant s’est introduit dans l’appareil, il s’appuie sur des applications légitimes qui ont déjà l’autorisation de faire des captures d’écran ou d’enregistrer l’écran (pensez à Zoom) sans avoir besoin du consentement de l’utilisateur. Selon l’équipe : « L’équipe de détection a constaté qu’une fois installé sur le système de la victime, XCSSET utilisait ce contournement spécifiquement dans le but de prendre des captures d’écran du bureau de l’utilisateur sans avoir besoin d’autorisations supplémentaires ».

Il est peut-être utile de mentionner qu’en 2019, les chercheurs d’ESET ont documenté des campagnes qui ciblaient les utilisateurs de Windows en France et délivraient une charge utile malveillante appelée Varenyky. En plus d’envoyer des spams ou de voler des mots de passe, Varenyky pouvait enregistrer les écrans des victimes pendant que celles-ci observaient des contenus sexuels en ligne.

Les deux vulnérabilités affectant la gamme de produits Apple TV sont répertoriées sous les noms CVE-2021-30663 et CVE-2021-30665 et résident dans le composant WebKit, le moteur de navigateur web open-source d’Apple utilisé par le navigateur Safari, Mail et diverses autres applications natives Apple. Alors que le premier est un bogue de dépassement d’entier, le second est une faille de corruption de mémoire, et les deux pourraient être exploités par un acteur menaçant utilisant du contenu web malveillant et potentiellement conduire à l’exécution de code arbitraire. Les failles de sécurité ont été comblées avec la publication de tvOS 14.6.

Outre les trois zéro-days, Apple a également publié des correctifs de sécurité pour macOS Catalina et MojaveiOS, iPadOS, le navigateur Safari et watchOS.

Il est conseillé d’appliquer toutes les mises à jour sans tarder. Vos appareils devraient se mettre à jour automatiquement si vous avez activé l’option. Sinon, vous pouvez le faire manuellement en passant par le menu Paramètres. Pour en savoir plus, vous pouvez vous référer à la page des mises à jour de sécurité d’Apple.

En avril, Apple a éliminé une grave vulnérabilité zéro-day de macOS qui pouvait permettre à des logiciels malveillants de contourner les mécanismes de protection intégrés du système d’exploitation.

Infolettre

Discussion