Utilisateurs d'appareils Apple, éloignez-vous des codes QR jusqu'à la mise à niveau

Il est temps de mettre à jour à nouveau vos appareils sous Mac et iOS: Apple a branché quatre vulnérabilités, dont deux pourraient être exploitées pour exécuter du code arbitraire si un utilisateur visite un site Web malveillant.

Les deux vulnérabilités critiques (CVE-2018-4200, CVE-2018-4204) affectent WebKit, le moteur de navigation utilisé dans le navigateur Safari d'Apple ( Mac et iOS ). Ils ont été découverts et signalés par Ivan Fratric de Google Project Zero et Richard Zhu travaillant avec Zero Day Initiative de Trend Micro.

Les deux autres vulnérabilités sont moins sévères, mais peuvent être exploitées pour faire des dégâts.

CVE-2018-4206, rapporté par Ian Beer de Google Project Zero, affecte Crash Reporter, l'application qui envoie des journaux de plantage Unix à Apple pour que les ingénieurs puissent les consulter et qui affiche des alertes de plantage aux utilisateurs. Sa gestion des erreurs boguées pourrait permettre à une application de déclencher une corruption de mémoire qui pourrait permettre à l'application d'obtenir des privilèges élevés.

Enfin, CVE-2018-4187, signalé à la fois par Zhiyang Zeng de Tencent Security Platform et Roman Mueller, est un bogue d'analyseur d'URL de code QR qui pourrait être exploité par des attaquants afin d'orienter les utilisateurs vers des sites malveillants:

Mueller a trouvé qu'il est facile de construire un code QR qui montrera un nom d'hôte d'apparence innocente dans la notification affichée par l'appareil alors que le lien pointe vers un site malveillant.

Plus d'informations sur la façon dont ce bug peut être exploité peuvent être trouvées ici .

Apple n'a pas publié de mises à jour pour tvOS, watchOS ou iTunes, mais si l'on se fie à l'expérience, nous pouvons nous attendre à ce qu'ils soient publiés bientôt, car WebKit est inclus dans ces offres et les correctifs WebKit sont généralement implémentés dans ces mises à jour.

Source : 
Suivez ce blog : Newsletter, Mail