Apple n’a pas encore corrigé un bogue de sécurité trouvé dans les iPhones et les Mac malgré la disponibilité d’un correctif publié il y a près de trois semaines, a déclaré un chercheur.
La vulnérabilité réside dans WebKit, le moteur de navigateur qui alimente Safari et tous les navigateurs fonctionnant sous iOS. Quand la vulnérabilité était corrigé il y a près de trois semaines par les développeurs open source en dehors d’Apple, les notes de publication du correctif indiquaient que le bogue avait causé le crash de Safari. Un chercheur de la société de sécurité Theori a déclaré que la faille est exploitable et que malgré la disponibilité d’un correctif, le bogue est toujours présent dans iOS et macOS.
Attention à l’écart
«Ce bogue démontre une fois de plus que le patch-gap est un danger important avec le développement open source», a écrit le chercheur de Theori Tim Becker dans un article publié mardi. «Idéalement, la fenêtre de temps entre un patch public et une version stable est aussi petite que possible. Dans ce cas, une nouvelle version d’iOS reste vulnérable des semaines après la publication du correctif. »
«Patch-gap» est le terme utilisé pour décrire l’exploitation d’une vulnérabilité pendant la période généralement brève entre le moment où elle est corrigée en amont et le moment où elle devient disponible pour les utilisateurs finaux. Dans une interview, Becker a déclaré que le correctif n’avait pas encore été intégré à macOS.
La vulnérabilité provient de ce que les chercheurs en sécurité appellent un bogue de confusion de type dans l’implémentation WebKit de AudioWorklet, une interface qui permet aux développeurs de contrôler, manipuler, rendre et produire de l’audio et réduire la latence. L’exploitation de la vulnérabilité donne à un attaquant les éléments de base pour exécuter à distance du code malveillant sur les appareils affectés.
Cependant, pour que l’exploitation fonctionne dans des scénarios du monde réel, un attaquant aurait encore besoin de contourner Codes d’authentification du pointeur, ou PAC, un système d’atténuation des exploits qui nécessite une signature cryptographique avant que le code en mémoire puisse être exécuté. Sans la signature ou un contournement, il serait impossible pour le code malveillant écrit par l’exploit WebKit de s’exécuter réellement.
«L’exploit crée des primitives de lecture / écriture arbitraires qui pourraient être utilisées dans le cadre d’une chaîne d’exploit plus large», a déclaré Becker, se référant à code d’attaque de preuve de concept sa société a libéré. «Il ne contourne pas PAC. Nous considérons que les contournements PAC sont des problèmes de sécurité distincts et doivent donc être divulgués séparément. »
Theori mentionné que les chercheurs de l’entreprise ont découvert indépendamment la vulnérabilité mais qu’elle avait été corrigée en amont avant de pouvoir la signaler à Apple.
« Nous ne nous attendions pas à ce que Safari soit encore vulnérable des semaines après la publication du correctif, mais nous y sommes … », a écrit Becker sur Twitter.
Cet exploit était un défi amusant. Nous ne nous attendions pas à ce que Safari soit toujours vulnérable des semaines après la publication du correctif, mais nous y voilà … https://t.co/jkEH7w498Q
– Tim Becker (@tjbecker_) 26 mai 2021
Huit zéro-jours Apple et comptage
Bien que la menace posée par cette vulnérabilité ne soit pas immédiate, elle reste potentiellement sérieuse car elle élimine un obstacle important nécessaire pour mener à bien les types d’exploits sauvages qui ont tourmenté les utilisateurs d’iOS et de macOS ces derniers mois.
Selon un tableur gérées par l’équipe de recherche sur les vulnérabilités Project Zero de Google, sept vulnérabilités ont été activement exploitées contre les utilisateurs d’Apple depuis le début de l’année. Le chiffre passe à huit si vous incluez un macOS zero-day que Apple a corrigé lundi. Six des huit vulnérabilités résidaient dans WebKit.
Les représentants Apple n’ont pas répondu à un e-mail demandant un commentaire pour ce message.