CocoaPods, un gestionnaire de dépendances open-source utilisé dans plus de trois millions d’applications codées en Swift et Objective-C, a laissé des milliers de packages exposés et prêts à être récupérés pendant près d’une décennie, créant ainsi des opportunités pour des attaques de la chaîne d’approvisionnement sur les applications iOS et macOS, selon des chercheurs en sécurité. La société israélienne EVA Information Security a annoncé sa découverte dans un article de blog publié un lundi. EVA affirme que CocoaPods a migré en 2014 tous les « Pods » – un fichier décrivant les dépendances d’un projet – vers un nouveau « serveur Trunk » sur GitHub. Cette migration a vu la réinitialisation de l’auteur de tous les Pods, et les auteurs ont été invités à récupérer leur travail. Certains ne l’ont pas fait, et au moment de la rédaction de cet article, 1 870 Pods restaient non revendiqués par leurs propriétaires, les laissant orphelins et accessibles. Ce problème est maintenant connu sous le nom CVE-2024-38368, pour lequel EVA nous a informés d’un score CVSS de 9,3. Ce problème a valu cette cote car tous les Pods non revendiqués étaient affiliés à une adresse e-mail par défaut, et une API publique permettant de revendiquer des Pods non revendiqués était disponible jusqu’à fin 2023, sans nécessité de fournir une quelconque vérification de propriété. Pour revendiquer un Pod, tout ce dont un attaquant avait besoin était d’envoyer une requête CURL particulière, et voilà – ils pouvaient alors modifier un Pod et insérer du code malveillant.
Donnez vie à vos histoires avec Epidemic Sound
Dans le monde numérique d’aujourd’hui, le contenu visuel est roi. Mais qu’est-ce qui transforme une bonne vidéo en une expérience