Nous utilisons l'application Mail d'Apple toute la journée, tous les jours pour gérer les e-mails professionnels et personnels, y compris une quantité abondante de commentaires, de questions, d'idées d'articles, de rapports de fautes de frappe, de suggestions de podcasts et bien plus encore.
(Continuez à venir - nous recevons des messages beaucoup plus positifs et utiles que nous recevons des trolls, et nous aimons que cela reste ainsi : tips@sophos.com est comment nous joindre.)
Nous avons toujours trouvé que l'application Mail était un bourreau de travail très utile qui nous convient bien : ce n'est pas particulièrement sophistiqué ; ce n'est pas plein de fonctionnalités que nous n'utilisons jamais ; c'est visuellement simple; et (jusqu'à présent en tout cas), il a été obstinément fiable.
Mais il a dû y avoir un sérieux problème de brassage dans la dernière version de l'application, car Apple vient de poussé un correctif de sécurité à bogue unique pour iOS 16, prenant le numéro de version pour iOS 16.0.3, et corrigeant une vulnérabilité spécifique à Mail :
Un et un seul bogue est répertorié :
Conséquence : le traitement d'un e-mail construit de manière malveillante peut entraîner un déni de service. Description : un problème de validation des entrées a été résolu par une meilleure validation des entrées. CVE-2022-22658
Bulletins "un seul bogue"
D'après notre expérience, les bulletins de sécurité "à un bogue" d'Apple, ou du moins les bulletins à N bogues pour les petits N, sont l'exception plutôt que la règle, et semblent souvent arriver lorsqu'il y a un danger clair et présent tel qu'un zéro jailbreakable. exploit ou séquence d'exploit d'une journée.
La mise à jour d'urgence récente la plus connue de ce type était peut-être une double correction du jour zéro en août 2022 qui a corrigé une attaque à deux volets consistant en un trou d'exécution de code à distance dans WebKit (un moyen d'entrer) suivi d'un trou d'exécution de code local dans le noyau lui-même (un moyen de prendre complètement le contrôle) :
Ces bogues ont été officiellement répertoriés non seulement comme connus des étrangers, mais aussi comme faisant l'objet d'abus actifs, probablement pour avoir implanté une sorte de logiciel malveillant qui pourrait garder un œil sur tout ce que vous faisiez, comme espionner toutes vos données, prendre des captures d'écran secrètes, écouter dans aux appels téléphoniques et prendre des photos avec votre appareil photo.
Environ deux semaines plus tard, Apple a même glissé un mise à jour inattendue pour iOS 12, une ancienne version que la plupart d'entre nous supposaient être en fait un "abandonware", après avoir été visiblement absente des mises à jour de sécurité officielles d'Apple pendant près d'un an auparavant :
(Apparemment, iOS 12 a été affecté par le bogue WebKit, mais pas par le trou du noyau qui a aggravé la chaîne d'attaque sur les produits Apple plus récents.)
Cette fois, cependant, il n'y a aucune mention que le bogue corrigé dans la mise à jour de iOS 16.0.3 a été signalé par quelqu'un en dehors d'Apple, sinon nous nous attendrions à voir le chercheur nommé dans le bulletin, même si ce n'est que comme "un chercheur anonyme".
Il n'y a pas non plus de suggestion que le bogue soit déjà connu des attaquants et donc déjà utilisé pour des méfaits ou pire…
… mais Apple semble néanmoins penser qu'il s'agit d'une vulnérabilité qui mérite d'être publiée dans un bulletin de sécurité.
Vous avez du courrier, du courrier, du courrier…
Soi-disant déni de service (DoS) ou écrase-moi à volonté les bogues sont souvent considérés comme les éléments légers de la scène de vulnérabilité, car ils ne fournissent généralement pas de voie aux attaquants pour récupérer des données qu'ils ne sont pas censés voir, ou pour acquérir des privilèges d'accès qu'ils ne devraient pas avoir, ou pour exécuter du code malveillant de leur propre choix.
Mais tout bogue DoS peut rapidement se transformer en un problème sérieux, surtout s'il se reproduit encore et encore une fois qu'il est déclenché pour la première fois.
Cette situation peut facilement se produire dans les applications de messagerie si le simple accès à un message piégé plante l'application, car vous devez généralement utiliser l'application pour supprimer le message gênant…
… et si le crash se produit assez rapidement, vous n'aurez jamais assez de temps pour cliquer sur l'icône de la corbeille ou pour supprimer le message incriminé avant que l'application ne se bloque à nouveau, et encore, et encore.
De nombreuses histoires sont apparues au fil des ans sur des scénarios de « texte de mort » sur iPhone de ce type, notamment :
Bien sûr, l'autre problème avec ce que nous appelons en plaisantant CRASH: GOTO CRASH bogues dans les applications de messagerie est que d'autres personnes peuvent choisir quand vous envoyer un message et quoi mettre dans le message…
… et même si vous utilisez une sorte de règle de filtrage automatisé dans l'application pour bloquer les messages provenant d'expéditeurs inconnus ou non fiables, l'application devra généralement traiter vos messages pour décider lesquels supprimer.
(Notez que ce rapport de bogue fait explicitement référence à un plantage dû à « traitement d'un e-mail conçu de manière malveillante ».)
Par conséquent, l'application peut planter de toute façon et peut continuer à planter à chaque redémarrage alors qu'elle essaie de gérer les messages qu'elle n'a pas réussi à traiter la dernière fois.
Que faire?
Que les mises à jour automatiques soient activées ou non, accédez à Paramètres > Général > Mise à jour du logiciel pour vérifier (et, si nécessaire, installer) le correctif.
La version que vous voulez voir après la mise à jour est iOS 16.0.3 ou plus tard.
Étant donné qu'Apple a publié un correctif de sécurité pour ce seul bogue DoS, nous supposons que quelque chose de perturbateur pourrait être en jeu si un attaquant devait le découvrir.
Par exemple, vous pourriez vous retrouver avec un appareil à peine utilisable que vous auriez besoin d'effacer complètement et de reflasher pour le remettre en bon état de fonctionnement…
EN SAVOIR PLUS SUR LES VULNÉRABILITÉS
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
- Apple
- blockchain
- cognitif
- accident de la mort
- portefeuilles de crypto-monnaie
- cryptoexchange
- CVE-2022-22658
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- iOS
- Kaspersky
- malware
- Mcafee
- Sécurité nue
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- vulnérabilité
- la sécurité d'un site web
- zéphyrnet
![S3 Ep117 : La crise crypto qui n'était pas (et adieu pour toujours à Win 7) [Audio + Texte]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png)
![S3 Ep113 : Pwning le noyau Windows - les escrocs qui ont trompé Microsoft [Audio + Texte]](https://platoaistream.net/wp-content/uploads/2022/12/s3-ep113-pwning-the-windows-kernel-the-crooks-who-hoodwinked-microsoft-audio-text-360x188.png)
