A l’été 2021, le monde découvrait Pegasus un spyware développé par la société israélienne NSO Group. Utilisant des failles critiques et des exploits de type zero clic sur les terminaux mobiles (notamment iPhone), il a été vendu à des Etats pour espionner des opposants politiques et des journalistes. Depuis plusieurs vulnérabilités ont été colmatées, mais il semble que le portefeuille de NSO Group dans ce domaine soit toujours actif. En effet, Apple et Citizen Lab (un collectif décortiquant Pegasus) ont découvert deux failles critiques.
La première répertoriée sous le nom de CVE-2023-41064, est un problème de débordement de mémoire tampon dans le framework Image I/O. La seconde vulnérabilité, répertoriée sous la référence CVE-2023-41061, est un problème de validation dans le framework de Wallet. Citizen Lab a baptisé cette chaîne d’exploit « Blastpass » et a été utilisée contre un iPhone fonctionnant sous iOS 16.6 et appartenant à une organisation basée à Washington et disposant de bureaux à l’international.
Apple corrige les deux failles
Apple a corrigé les deux failles dans les dernières versions d'une série de produits - iOS et iPadOS 16.6.1, macOS 13.5.2 et watchOS 9.6.2. Outre Mac Ventura, les produits concernés sont l'iPhone 8 et les versions ultérieures, tous les modèles d'iPad Pro, l'iPad Air de 3e génération et les versions ultérieures, l'iPad de 5e génération et les versions ultérieures, l'iPad mini de 5e génération et les versions ultérieures, ainsi que l'Apple Watch Series 4 et les versions ultérieures.
Le premier zero-day a été corrigé grâce à une meilleure gestion de la mémoire, tandis que le second a été corrigé par l'implémentation d'une logique améliorée. Citizen Lab et Apple invitent tous les utilisateurs à mettre rapidement à jour leurs appareils.