Google dispose d'une équipe entièrement dédiée à la sécurité, Project Zero. Au fil des ans, cette équipe a également traité des produits autres que ceux de la société Mountain View, et cette dernière découverte ne fait pas exception: une vulnérabilité zéro clic a été publiée sur son blog qui affecte pratiquement tous les produits Apple. L'équipe Project Zero a trouvé une vulnérabilité dans le framework qui traite de la gestion des fichiers multimédia, ImageIO , présent dans tous les systèmes de la société Cupertino : iOS , macOS , watchOS et même tvOS . Ce cadre analyse et gère les images et leurs métadonnées.
Lorsque nous recevons une image (de n'importe quelle source) ImageIO analyse le fichier pour comprendre son type et ses caractéristiques. Il s'agit d'un processus automatique qui ne nécessite pas d' interaction avec l'utilisateur. En raison précisément de ce manque d'interaction, du code malveillant inséré dans l'image peut être injecté dans l'appareil. Il y a 6 vulnérabilités trouvées par Google dans ImageIO, en plus de 8 autres vulnérabilités trouvées dans le format OpenEXR tiers. Mais rassurez-vous: Google Project Zero a contacté Apple, qui a corrigé toutes les vulnérabilités en janvier et avril de cette année . Samuel Groß, un chercheur de Project Zero, n'est pas calme: il peut y avoir d'autres vulnérabilités qui utilisent la même technique (pointant vers des fichiers différents, cependant). Pour cette raison, il est important de toujours garder l'appareil à jour .
Lorsque nous recevons une image (de n'importe quelle source) ImageIO analyse le fichier pour comprendre son type et ses caractéristiques. Il s'agit d'un processus automatique qui ne nécessite pas d' interaction avec l'utilisateur. En raison précisément de ce manque d'interaction, du code malveillant inséré dans l'image peut être injecté dans l'appareil. Il y a 6 vulnérabilités trouvées par Google dans ImageIO, en plus de 8 autres vulnérabilités trouvées dans le format OpenEXR tiers. Mais rassurez-vous: Google Project Zero a contacté Apple, qui a corrigé toutes les vulnérabilités en janvier et avril de cette année . Samuel Groß, un chercheur de Project Zero, n'est pas calme: il peut y avoir d'autres vulnérabilités qui utilisent la même technique (pointant vers des fichiers différents, cependant). Pour cette raison, il est important de toujours garder l'appareil à jour .
Envoyer une nouvelle à un ami