Apple déclare que les vulnérabilités de messagerie iOS récemment découvertes ne posent aucune menace immédiate, mais un correctif est en cours

Apple a répondu à une récente rapport sur les vulnérabilités découvertes dans son application iOS Mail, affirmant que les problèmes ne posent pas de risque immédiat pour les utilisateurs.

Plus tôt cette semaine, la société de cybersécurité basée à San Francisco, ZecOps, a déclaré avoir découvert deux vulnérabilités de sécurité zero-day affectant l'application Mail d'Apple pour iPhones et iPads.

L'une des vulnérabilités permettrait à un attaquant d'infecter à distance un appareil iOS en envoyant des e-mails qui consomment une grande quantité de mémoire. Un autre pourrait permettre des capacités d'exécution de code à distance. L'exploitation réussie des vulnérabilités pourrait potentiellement permettre à un attaquant de divulguer, de modifier ou de supprimer les e-mails d'un utilisateur, a déclaré ZecOps.

Cependant, Apple a minimisé la gravité des problèmes dans la déclaration suivante, qui a été donnée à plusieurs médias.

« Apple prend au sérieux tous les rapports de menaces de sécurité. Nous avons enquêté de manière approfondie sur le rapport du chercheur et, sur la base des informations fournies, avons conclu que ces problèmes ne posent pas de risque immédiat pour nos utilisateurs. Le chercheur a identifié trois problèmes dans Mail, mais à eux seuls, ils sont insuffisants pour contourner les protections de sécurité de l'iPhone et de l'iPad, et nous n'avons trouvé aucune preuve qu'ils aient été utilisés contre des clients. Ces problèmes potentiels seront bientôt résolus dans une mise à jour logicielle. Nous apprécions notre collaboration avec les chercheurs en sécurité pour aider à assurer la sécurité de nos utilisateurs et remercierons le chercheur pour son aide.'

Les vulnérabilités auraient un impact sur toutes les versions logicielles entre iOS 6 et iOS 13.4.1. ZecOps a déclaré qu'Apple avait corrigé les vulnérabilités de la dernière version bêta d'iOS 13.4.5, qui devrait être publiée dans les semaines à venir. D'ici là, ZecOps recommande d'utiliser une application de messagerie tierce comme Gmail ou Outlook, qui ne sont apparemment pas impactées.