Cette nouvelle devrait intéresser les utilisateurs d'appareils macOS et iOS. Il s’avère que pendant près de dix ans, les applications exécutées sur ces logiciels contenaient peut-être des logiciels malveillants utilisés par des pirates informatiques.

Les vulnérabilités ont été éliminées il y a plusieurs mois, mais ce fait n'est révélé que maintenant. Ils étaient situés sur un serveur qui sert de référentiel où les développeurs stockent les projets open source créés à l'aide des langages de programmation Swift et Objective-C. Le référentiel stocke des projets de code de travail appelés CocoaPods et ce sont ceux qui ont été attaqués par des pirates.

Au total, trois vulnérabilités ont été identifiées, qui ont été éliminées à la fin de l'année dernière. Le plus dangereux d'entre eux portait le symbole CVE-2024-38366 (point 10 sur l'échelle de malignité CVSS). La vulnérabilité exploite un processus de vérification des e-mails non sécurisé pour exécuter du code arbitraire sur le serveur Trunk, qui peut ensuite être utilisé pour manipuler ou remplacer des paquets.

La deuxième vulnérabilité a été marquée du symbole CVE-2024-38368 (9,3 points sur l'échelle de malignité CVSS). Il permet à l'attaquant de prendre le contrôle du processus Claim Your Pods, grâce auquel le pirate peut apporter des corrections arbitraires au code source, infectant ainsi l'application.

Le serveur a également identifié un troisième problème dans le composant de vérification des e-mails (CVE-2024-38367, score CVSS : 8,2) qui pourrait inciter un destinataire à cliquer sur un lien de vérification apparemment inoffensif alors qu'en réalité il redirige la requête vers un domaine contrôlé par un attaquant vers accéder aux jetons de session de développeur.

A lire également