Papier psychique du DER : Le (bref) retour du papier psychique

Ivan Fratric, un chercheur de Project Zero, a découvert CVE-2022-42855, une vulnérabilité de parsing XML dans l'application Mail d'Apple. - La vulnérabilité aurait pu permettre à un attaquant d'exécuter du code arbitraire sur un appareil vulnérable via un e-mail conçu. - Apple a corrigé la vulnérabilité dans iOS 15.7.2 et macOS Monterey 12.6.2. - Des modifications de durcissement liées à la vulnérabilité ont été incluses dans iOS 16.2 et macOS Ventura 13.1. - Les recherches de Fratric se sont concentrées sur les particularités du parsing XML et leurs implications de sécurité dans les applications basées sur XMPP. - D'autres exemples de vulnérabilités de parsing XML ont été identifiés, y compris une vulnérabilité dans l'application Mail d'Apple connue sous le nom de Ps. - Ps permettait aux attaquants d'exécuter du code arbitraire sur les appareils vulnérables en envoyant un e-mail avec une pièce jointe XML malveillante. - Apple a corrigé Ps dans macOS Catalina 10.15.7 et iOS 13.7. - Fratric souligne l'importance d'un parsing et d'une validation XML soignés pour prévenir de telles vulnérabilités.