Vulnérabilités dans Apple Mail

Date de publication :

Deux vulnérabilités ont été découvertes dans l’application Mail d’Apple. Elles peuvent permettre à un attaquant distant d’exécuter du code arbitraire dans le contexte de l’application, lui permettant ainsi de consulter, modifier ou effacer des emails. Ces vulnérabilités seraient exploitées dans la nature depuis plusieurs années.

Pas de CVE attribuée [Score CVSS v3 : Non déterminé] : L’implémentation de MFMutableData dans la bibliothèque MIME d’Apple Mail ne vérifie pas les erreurs lorsque le système appelle la fonction ftruncate() ce qui peut provoquer une écriture hors-limites. Cette vulnérabilité peut être exploitée par un attaquant en utilisant un mail spécialement forgé afin de pouvoir exécuter du code arbitraire dans le contexte de l’application. Sur iOS 13, l’exploitation peut se faire sans interaction utilisateur (zero-click attack). 

Pas de CVE attribuée [Score CVSS v3 : Non déterminé] : Une vulnérabilité de type dépassement de tas a été découverte dans Apple Mail. Elle peut permettre à un attaquant distant, par le biais d’un mail spécialement forgé, d’exécuter du code arbitraire dans le contexte de l’application.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

Criticité

    Score CVSS v3 : Non déterminé

Existence d’un code d’exploitation

    Des preuves de concept sont disponibles publiquement et il a été reporté que ces vulnérabilités sont exploitées dans la nature depuis plusieurs années.

Composants vulnérables

    Apple Mail depuis iOS 6

CVE

    Pas de CVE attribuée

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Aucun correctif de sécurité n’est disponible sur les versions stabilisées d’iOS pour l’instant

Solution de contournement

  • Apple a corrigé ces vulnérabilités dans iOS 13.4.5 beta, il est possible de l’utiliser pour mitiger ces vulnérabilités. Sinon, il est possible aussi de désactiver l’application Mail et d’en utiliser une autre équivalente (Outlook ou Gmail).

Liens