Charles TechCharles Tech
  • Tests High-Tech
    • Smartphones
      • iPhone
      • Asus
      • Huawei
      • Poco
      • Samsung
      • Xiaomi
    • Ordinateurs
      • PC fixe / gamer
      • PC portables
    • Composants PC
      • Cartes Graphiques
      • Processeurs
      • SSD
    • Eléctromenager
      • Aspirateurs robots
    • Périphériques
      • Claviers
      • Souris
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Vous lisez Une vulnérabilité iOS a été détectée par Microsoft
Font ResizerAa
Charles TechCharles Tech
Font ResizerAa
Rechercher ...
  • Tests High-Tech
    • Smartphones
    • Ordinateurs
    • Composants PC
    • Eléctromenager
    • Périphériques
  • Actu Tech
  • Bons plans
  • Dossiers
  • Guides d’achat
  • Tutos
  • Français
    • English
    • Deutsch
    • Español
    • Italiano
    • 日本語
    • Polski
Suivez-nous
Charles Tech > Actualité High-Tech : Toutes nos dernières news > Une vulnérabilité iOS a été détectée par Microsoft

Une vulnérabilité iOS a été détectée par Microsoft

Louis Touzalin
Louis Touzalin
Published: 15/07/2022
Last updated: 15/07/2022
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.
Partager
Share at:
ChatGPT Perplexity WhatsApp LinkedIn X Grok Google AI

Mercredi, Microsoft a fait la lumière sur une vulnérabilité désormais corrigée affectant les systèmes d’exploitation d’Apple dont iOS qui, si elle est exploitée avec succès, pourrait permettre aux attaquants d’élever les privilèges de l’appareil et de déployer des logiciels malveillants.

« Un attaquant pourrait tirer parti de cette vulnérabilité d’évasion de sandbox pour obtenir des privilèges élevés sur l’appareil affecté ou exécuter des commandes malveillantes comme l’installation de charges utiles supplémentaires« , a déclaré Jonathan Bar Or de l’équipe de recherche Microsoft 365 Defender dans un article.

Répertoriée sous le nom de CVE-2022-26706 (score CVSS : 5,5), la vulnérabilité de sécurité a un impact sur iOS, iPadOS, macOS, tvOS et watchOS et a été corrigée par Apple en mai 2022.

Appelant cela un problème d’accès affectant le composant LaunchServices (launchd), le fabricant de l’iPhone a noté qu' »un processus sandboxé peut être en mesure de contourner les restrictions du sandbox« , ajoutant qu’il a atténué le problème avec des restrictions supplémentaires.

iOS

Bien que la Sandbox d’Apple soit conçu pour réglementer étroitement l’accès d’une application tierce aux ressources du système et aux données de l’utilisateur, la vulnérabilité permet de contourner ces restrictions et de compromettre la machine.

D'autres articles intéressants

Le Galaxy S26 Ultra pourrait être équipé du Snapdragon 8 Elite Gen 2
6 points importants pour choisir un logiciel de gestion des interventions pour gagner en productivité
Discord vous oblige à mettre à jour votre nom d’utilisateur
Les dernières photos de l’ASRock Radeon RX 7600 Steel Legend sont sorties
Précommandes : l’iPhone 16 Plus cartonne, l’iPhone 16 Pro fait un flop

« La fonction principale du bac à sable est de contenir les dommages causés au système et aux données de l’utilisateur iOS si ce dernier exécute une app compromise« , explique Apple dans sa documentation.

« Bien que le bac à sable n’empêche pas les attaques contre votre application, il réduit les dommages qu’une attaque réussie peut causer en limitant votre application à l’ensemble minimal de privilèges dont elle a besoin pour fonctionner correctement.« 

Microsoft a déclaré avoir découvert la faille lors de ses tentatives de trouver un moyen d’échapper au bac à sable d’iOS et d’exécuter des commandes arbitraires sur macOS en dissimulant le code malveillant dans une macro Microsoft Office spécialement conçue.

iOS

Plus précisément, la preuve de concept (PoC) de la taille d’un tweet conçue par le géant de la technologie exploite les services de lancement comme moyen d’exécuter une commande ouverte un utilitaire utilisé pour ouvrir des fichiers et lancer des applications sur un payload Python contenant des instructions malveillantes.

Il convient toutefois de noter que tout fichier déposé par une application sandboxée est automatiquement étiqueté avec l’attribut étendu « com.apple.quarantine » afin de déclencher une invite demandant le consentement explicite de l’utilisateur avant l’exécution du processus sur iOS.

Cette contrainte peut toutefois être éliminée en utilisant l’option -stdin pour la commande open associée au fichier d’exploitation Python.

« L’option -stdin permet de contourner la restriction de l’attribut étendu ‘com.apple.quarantine’, car Python n’avait aucun moyen de savoir que le contenu de son entrée standard provenait d’un fichier en quarantaine« , explique Bar Or.

Share at:
ChatGPT Perplexity WhatsApp LinkedIn X Grok Google AI
Partager cet article
Facebook Email Copy Link Imprimer
Laisser une note

Laisser une note Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sélectionnez une note

Notre partenaire

Kraken Elite 420 Cycle One Banner 300x600 FR

Réseaux sociaux

23kLike
38kSuivre
170Suivre
2.8kAbonnement
10.8kSuivre
1.1kSuivre
34Suivre

Vous aimerez aussi ...

Roaming Mantis

Roaming Mantis : Le trojan visant iCloud et Android

26/07/2022
tineco switch s7 2

Tineco présente son nouvel aspirateur balai le Switch S7 au CES de Las Vegas

09/01/2024

Amazon poursuit des milliers d’admin de groupes Facebook

20/07/2022
Oppo Find X6 Series

Oppo Find X6 : La date de lancement vient d’être confirmée

17/04/2023

A ne pas louper !

400 black 400 golden Horizontal (1)
Honor 400 : derniers jours pour profiter d’une offre exceptionnelle sur ce smartphone
Bons plans
amazon firestick tv
Bon plan : le Fire Stick HD d’Amazon sacrifie son prix
Bons plans
honor 400 appareil photo
Honor 400 : une offre de lancement prolongée jusqu’au 23 juin 
Bons plans
  • Annoncer sur CharlesTech
  • Mentions légales
  • Contactez nous
  • À propos
  • Plan de site
© Charles Tech 2017 - 2025 - Toute reproduction (même partielle) interdite sous peine de poursuites.
Re !

Connectez-vous

Username or Email Address
Password

Vous avez perdu votre mot de passe ?