Apple n'oublie pas ses anciens appareils. Une preuve de plus que nous avons trouvée hier, avec le lancement d'iOS 12.5.5, une version destinée à tous les iPhones et iPads qui Ils ont arrêté la mise à jour avec la sortie d'iOS 13.
Cette nouvelle mise à jour patché trois vulnérabilités considérées comme zéro jour, dont un qui a probablement été exploité par le logiciel Pegasus de la société israélienne NSG Group.
L'une de ces vulnérabilités est liée à CoreGraphics. Cette vulnérabilité permet aux attaquants exécuter du code arbitraire sur un appareil cible via des PDF conçus de manière malveillante.
Cette vulnérabilité peut avoir été exploité dans la pratique, selon le document de support, qui détaille le contenu de sécurité de la mise à jour.
La vulnérabilité CoreGraphics, qui affecte les modèles Phone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch XNUMXe génération, a été découvert par Citizen Lab, un laboratoire interdisciplinaire de la Munk School of Global Affairs de l'Université de Toronto, qui suggère en outre que NSO a déployé l'exploit pour renforcer son outil malveillant Pegasus.
Ces derniers mois, Citizen Lab a découvert plusieurs vulnérabilités zero-day liées aux logiciels espions Pegasus, qui auraient Il est utilisé par des gouvernements autoritaires pour pirater et contrôler les iPhones et d'autres appareils iOS utilisés par des journalistes, des militants, des représentants du gouvernement et d'autres personnes relevant de leur compétence.
En août, il a été signalé qu'un vecteur d'attaque appelé « Entrée forcée » avait été utilisé pour contourner les nouveaux protocoles de sécurité BlastDoor d'Apple dans iMessages, qui a permis l'insertion de Pegasus dans l'iPhone 12 Pro d'un militant des droits humains de Bahreïn.
Peu de temps après avoir rendu cette nouvelle publique, Apple a publié en septembre une mise à jour pour iOS 14 qui résolu ce bug et bloqué le fonctionnement de ce logiciel.