Le 10 décembre, Apple a
publié un grand nombre de correctifs pour
macOS ,
iOS (y compris iPadOS) et
watchOS . Le plus dangereux des bogues fermés est peut-être la vulnérabilité FaceTime, qui affecte tous les appareils mobiles Apple à partir d'iPhone 6s et iPad Air 2. Comme pour la
vulnérabilité récemment découverte
dans WhatsApp , le problème a été détecté dans le système de traitement des fichiers vidéo entrants: une vidéo malveillante pourrait entraîner exécution de code arbitraire. La vulnérabilité CVE-2019-8830 a été découverte par Natalie Silvanovich, chercheuse au sein de l'équipe Google Project Zero: l'année dernière, elle a écrit en détail sur la sécurité des messageries instantanées, dont FaceTime (vous pouvez commencer par un
article il y a un an avec des exemples de vulnérabilités découvertes dans l'application).
Une autre vulnérabilité a été
découverte par le chercheur Kishan Bagaria: il a constaté que l'envoi de documents aux appareils Apple à proximité entraînait continuellement un déni de service. Pour ce faire, la possibilité de recevoir des fichiers via le mécanisme AirDrop de n'importe qui (et pas seulement des utilisateurs de votre liste de contacts) doit être activée sur votre iPad ou iPhone. On s'attendait à ce que le bogue s'appelle AirDoS: l'essentiel est que la demande de réception du fichier doit être acceptée ou rejetée, et jusqu'à ce que cela soit fait, d'autres contrôles sur l'appareil mobile ne sont pas disponibles. Si vous envoyez constamment des demandes, la tablette ou le smartphone est en fait inopérant. Le bogue a été corrigé dans iOS 13.3 en introduisant une limite sur le nombre de tentatives: si vous rejetez la demande trois fois de suite, toutes les tentatives ultérieures d'envoi du fichier à partir du même appareil sont bloquées automatiquement.
Un bug intéressant a été découvert et corrigé dans les processeurs Intel (
actualités ,
bulletin constructeur,
site de vulnérabilité). Des chercheurs d'universités d'Autriche, de Belgique et du Royaume-Uni ont trouvé un moyen de compromettre le mécanisme des
extensions Software Guard - il offre une protection supplémentaire pour les données critiques, telles que les clés de chiffrement, en les isolant des autres processus du système. La méthode de piratage a été choisie non triviale: modification des registres du processeur responsables de la consommation électrique. Dans une situation normale, ils sont utilisés pour augmenter les performances ou les économies d'énergie supplémentaires au-delà des paramètres de processeur standard.
Les chercheurs ont prouvé qu'une baisse significative de la tension (par exemple, -232 mV pour le processeur Core i3-7100U ou -195 mV pour le Core i7-8650U) au bon moment provoque un dysfonctionnement du SGX et conduit à une corruption des données: là où il y a des dommages, une opportunité s'ouvre pour accéder à des données autrement inaccessibles. À titre d'exemple, les experts ont démontré l'extraction de clés de chiffrement à l'aide des algorithmes RSA et AES.
Comme c'est généralement le cas avec des attaques de ce type, il n'est pas facile de sélectionner la tension et le moment correct pour changer les paramètres. De plus, une véritable attaque de ce type, bien qu'elle puisse être effectuée à distance (ce qui n'est pas typique des vulnérabilités matérielles), mais nécessite un accès complet au système d'exploitation. Sinon, vous ne pouvez pas accéder aux paramètres du processeur. La fermeture de la vulnérabilité dans ce cas signifie la mise à jour du microcode, qui doit toujours atteindre des appareils réels (tous les processeurs utilisateurs Intel Core de la sixième génération sont affectés, et certains Xeon) sous la forme d'une mise à jour du BIOS.
Kaspersky Lab a publié un
rapport complet (disponible après inscription, un bref aperçu de
cette actualité ) sur les cybermenaces pour 2019. Le rapport présente un intérêt particulier pour une liste de vulnérabilités réellement utilisées dans les logiciels malveillants. Contrairement aux vulnérabilités théoriques, celles-ci constituent une menace particulière et nécessitent des mises à jour logicielles immédiates. Cependant, pour les bogues exploités les plus populaires, les mises à jour sont disponibles depuis plus d'un an. En haut de cette liste se trouvent deux vulnérabilités dans Microsoft Office Formula Editor,
CVE-2017-11882 et
CVE-2018-0802 . Les cinq bogues les plus couramment utilisés concernent généralement Microsoft Office. Un exemple d'une nouvelle vulnérabilité est le bogue CVE-2019-0797 découvert en mars, qui à l'époque était
déjà exploité dans des attaques malveillantes.
Que s'est-il passé d'autre:Des
vulnérabilités critiques
ont été découvertes dans deux modules complémentaires WordPress: Ultimate Addons pour Beaver Builder et Ultimate Addons pour Elementor. Pour le fonctionnement, il vous suffit de connaître l'adresse postale de l'administrateur du site.
Une autre vulnérabilité zero-day dans Windows (de 7 à 10 et dans Windows Server à partir de 2008) est
fermée par le correctif de décembre. Le bogue a été
trouvé dans la bibliothèque système win32k.sys, il contenait également la vulnérabilité mentionnée précédemment CVE-2019-0797.
Dans la nouvelle version de Google Chrome 79
, deux vulnérabilités critiques ont été corrigées et, en même temps, une nouvelle alarme standard est apparue concernant l'utilisation de paires identifiant-mot de passe compromises. Cette option était auparavant disponible en tant qu'extension.
14 vulnérabilités critiques corrigées dans Adobe Reader et Adobe Acrobat. Plus deux vulnérabilités conduisant à l'exécution de code arbitraire dans Adobe Photoshop.
Les développeurs de modules complémentaires de Firefox
doivent désormais utiliser une autorisation à deux facteurs. De cette façon, Mozilla essaie de réduire le risque d'attaques sur la chaîne d'approvisionnement: dans ce cas, nous avons en tête un scénario où du code malveillant est inséré dans une extension légitime après avoir piraté l'ordinateur du développeur.