Bug Stagefright sur Macs et iPhones : mise à jour obligatoire !

MobilitéProtection des donnéesResponsables ITSécurité MacAndroidAppleCybercriminalitéFaille de sécuritéVulnérabilité
stagefright

Bug Stagefright sur Macs et iPhones : mise à jour obligatoire !

stagefrightVous vous rappelez de Stagefright ?

Stagefright était l’un des  les plus médiatiques de 2015 : une faille de sécurité, ou plus précisément un groupe de failles, au sein du composant logiciel multimédia libstagefright d’Android.

Les objets multimédia tels que les images, vidéos et audios sont souvent stockés sous des formats complexes.

Cela signifie beaucoup de programmation élaborée pour les lire, les uns après les autres, les décoder, les décompresser en mémoire, et les préparer pour être visionnés.

Et comme vous le savez, plus un programme devient compliqué, plus il doit faire des calculs basés sur les nombres extraits à partir de fichiers suspects, plus il doit se démener en allouant et en libérant de la mémoire et en échangeant des données entre les différentes mémoires tampons…

… et plus il y a de chance de voir apparaitre des bugs de type buffer overflow ou integer overflow.

Toutes les vulnérabilités ne peuvent pas se transformer en exploits opérationnels, que les cybercriminels peuvent utiliser pour envoyer des fichiers conçus sur-mesure, et qui non seulement feront crasher le code en question, mais qui se battront aussi pour prendre le contrôle sur ce dernier, au sein du processus.

Cependant, les vulnérabilités de type overflow qui peuvent être exploitées, en général se transforment en  à part entière, ce qui signifie que non seulement les cybercriminels peuvent duper le logiciel piégé afin de lancer du code non autorisé, mais qu’ils peuvent aussi le faire en utilisant du contenu envoyé à distance.

Les bugs, se basant sur l’interprétation des images, sont particulièrement dangereux lorsqu’ils sont utilisés de manière offensive au sein de RCE. En effet, de nos jours, nous recevons tellement d’images qui sont traitées et qui s’affichent automatiquement, en tant qu’éléments sensés, émaner d’une activité qui semble inoffensive.

Voilà pourquoi la série de bugs Stagefright chez Android, a causé une alarme généralisée (heureusement plus que nécessaire), car les applications qui interprètent et affichent automatiquement les images sont :

La mauvaise nouvelle dans ces cas énumérés ci-dessus, est que l’expéditeur doit décider quelles images il veut inclure, et quel format utilisé.

En d’autres termes, même s’il existe un bug inhabituel dans un format d’image des plus étranges, que vous n’utilisez d’ailleurs pas vous-même, l’expéditeur peut choisir ce format, et l’application se charge de trouver le code adéquat à utiliser pour traiter l’image, et l’afficher ensuite sur l’écran.

Les MMS représentent un vrai problème ici : l’expéditeur peut pousser les messages vers votre équipement à tout moment, et la plupart des applications de messagerie automatiquement pré-chargent les images auxquelles les messages sont liés, prêtes pour plus tard.

Avec un site internet, vous pouvez toujours décider de ne pas le visiter du tout. Avec les emails, vous pouvez au moins effacer les emails de votre boite de réception sans les ouvrir, vous offrant ainsi le privilège d’éviter du contenu suspect et non désiré.

Cependant les MMS, sont en général présents là, prêts et en train d’attendre. Ainsi, dès que vous consultez votre liste de messages, n’importe quelle image piégée que vous recevez, aura déjà eu sa chance.

Stagefright sur Macs et iPhones

Il semble que Stagefright soit arrivé sur Mac et iPhone.

Dans la mise à jour sécurité récente d’Apple pour OS X (10.11.6) et iOS (9.3.3), certains des bugs patchés sont listés ainsi :

Image IO

Impact : un hacker distant peut exécuter un code arbitraire

Description : Problèmes de corruption de mémoire multiples traités grâce à une meilleure gestion de la mémoire.

4 bugs différents : CVE-2016-1850, CVE-2016-4629, CVE-2016-4630, CVE-2016-4631 ont été traités. Le plus important étant : CVE-2016-4631.

Dit plus simplement, ImageIO d’Apple est l’équivalent du libstagefright de Google.

Selon l’expert sécurité Tyler Bohan de Cisco Talos : le bug CVE-2106-4631 apparait lors de la manipulation d’images TIFF. Le code défectueux affecte à la fois OS X et iOS, et ce bug existe depuis des années.

En conclusion, votre iDevice ou votre Mac sont très certainement vulnérables, si vous n’avez pas installé la dernière mise à jour sécurité.

Nous entendons parfois, de la part de certaines personnes qui naïvement pensent qu’une fois que leurs équipements se trouvent être vraiment dépassés (par exemple ceux encore sous Windows XP), alors les vulnérabilités exploitables le sont aussi, oubliées et dépassées. A priori, ce n’est pas vraiment le cas, selon Bohan.

En théorie, à présent que la faille CVE-2016-4631 est connue, et que les cybercriminels ont repéré où chercher pour trouver des exploits opérationnels, il existe un réel risque de voir apparaitre des malwares OS X et iOS, ou bien des attaques visant la fuite de données, et qui peuvent être déclenchées par messages ou emails.

Même si le malware iOS devait prendre le contrôle seulement de votre application de messagerie, en étant limité par le sandboxing iOS aux données de messagerie uniquement, vous pouvez avoir une quantité importante de données personnelles en danger.

Quoi faire ?


//
Partagez Bug Stagefright sur Macs et iPhones : mise à jour obligatoire ! avec : http://wp.me/p2YJS1-2Rc
Billet inspiré de Update now: Macs and iPhones have a Stagefright-style bug! par Paul Ducklin, Sophos NakedSecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.