Apple a publié des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités zero-day exploitées lors d’attaques contre les systèmes Mac à processeur Intel.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité. » la société a dit dans un avis publié mardi.

Les deux bogues ont été trouvés dans les composants macOS Sequoia JavaScriptCore (CVE-2024-44308) et WebKit (CVE-2024-44309) de macOS.

La faille JavaScriptCore CVE-2024-44308 permet aux attaquants d’exécuter du code à distance via du contenu Web conçu de manière malveillante. L’autre faille, CVE-2024-44309, permet des attaques de type cross-site scripting (CSS).

La société affirme avoir corrigé les failles de sécurité dans macOS Séquoia 15.1.1.

Comme les mêmes composants se retrouvent dans d’autres systèmes d’exploitation Apple, cela a également été corrigé dans iOS 17.7.2 et iPadOS 17.7.2, iOS 18.1.1 et iPadOS 18.1.1et visionOS 2.1.1.

Si Apple affirme que les deux failles ont été découvertes par Clément Lecigne et Benoît Sevens du Threat Analysis Group de Google, l’entreprise n’a pas fourni plus de détails sur la manière dont elles ont été exploitées.

BleepingComputer a contacté Google pour savoir comment les failles avaient été exploitées, mais on lui a répondu qu’ils n’avaient plus rien à partager pour le moment.

Avec ces deux vulnérabilités, Apple a jusqu’à présent corrigé six zéros jours en 2024, la première en janvier, deux en mars et la quatrième en mai.

Ce chiffre est nettement meilleur que l’année dernière, où Apple avait corrigé un total de 20 failles zero-day exploitées à l’état sauvage, notamment :