Apple a corrigé une faille de sécurité dans iCloud qui aurait pu être utilisée pour envoyer des logiciels malveillants aux utilisateurs de Mac.
Cette faille de sécurité aurait permis à un attaquant d’intégrer du code malveillant dans des pages ou des documents Keynote, qui pouvait ensuite être partagé avec d’autres. Comme le rapporte ZDNet, l’expert en sécurité Vishal Bharad affirme avoir découvert cette faille liée à un problème XSS sur icloud.com.
« Les vulnérabilités XSS stockées, également connues sous le nom de XSS persistant, peuvent être utilisées pour stocker des charges utiles sur un serveur cible, injecter des scripts malveillants dans des sites Web et potentiellement être utilisées pour voler des cookies, des jetons de session et des données de navigateur. »
Selon Bharad, la faille XSS dans icloud.com a été trouvée dans les fonctionnalités Page/Keynotes du domaine iCloud d’Apple. L’expert a reçu 5000 $ d’Apple pour avoir découvert et signalé le bug, un paiement relativement modeste pour ce qui était une faille potentiellement très grave, bien que de nombreuses étapes spécifiques aient été nécessaires qui rendaient son exploitation difficile :
« Pour déclencher le bug, un attaquant devait créer de nouveaux documents Pages ou du contenu Keynote avec une charge utile XSS envoyée dans le champ de nom. Ce contenu devait ensuite être enregistré et envoyé ou partagé avec un autre utilisateur. À ce stade, l’attaquant devait apporter une ou deux modifications au contenu malveillant, l’enregistrer à nouveau, puis aller dans « Settings » et « Browser All Versions ». Après avoir cliqué sur cette option, la charge utile XSS s’activerait alors. »
Fort heureusement, le problème a été résolu par Apple.
