Pomme

Apple a publié des mises à jour de sécurité d'urgence pour corriger deux vulnérabilités Zero Day exploitées lors d'attaques et affectant les appareils iPhone, iPad et Mac, atteignant 20 vulnérabilités Zero Day corrigées depuis le début de l'année.

« Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été exploité sur des versions d'iOS antérieures à iOS 16.7.1 », la société a dit dans un avis publié mercredi.

Les deux bogues ont été trouvés dans le moteur du navigateur WebKit (CVE-2023-42916 et CVE-2023-42917), permettant aux attaquants d'accéder à des informations sensibles via une faiblesse de lecture hors limites et d'exécuter du code arbitraire via une corruption de mémoire. bug sur les appareils vulnérables via des pages Web conçues de manière malveillante.

Publicité

La société affirme avoir corrigé les failles de sécurité des appareils exécutant iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2et Safari 17.1.2 avec une validation et un verrouillage des entrées améliorés.

La liste des appareils Apple concernés est assez longue et comprend :

  • iPhone XS et versions ultérieures
  • iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
  • Mac exécutant macOS Monterey, Ventura, Sonoma

Le chercheur en sécurité Clément Lecigne du Threat Analysis Group (TAG) de Google a trouvé et signalé les deux zero-days.

Bien qu'Apple n'ait pas divulgué d'informations sur l'exploitation en cours dans la nature, les chercheurs de Google TAG ont souvent découvert et divulgué des logiciels espions Zero Day utilisés dans des attaques de logiciels espions parrainées par l'État contre des personnes à haut risque, telles que des journalistes, des politiciens de l'opposition et des dissidents.

20 zero-day exploités en pleine nature en 2023

CVE-2023-42916 et CVE-2023-42917 sont les 19e et 20e vulnérabilités zero-day exploitées lors d'attaques corrigées par Apple cette année.

Google TAG a révélé un autre bug zero-day (CVE-2023-42824) dans le noyau XNU, permettant aux attaquants d'élever les privilèges sur les iPhones et iPads vulnérables.

Apple a récemment corrigé trois autres bogues zero-day (CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) signalés par les chercheurs du Citizen Lab et de Google TAG et exploités par les acteurs malveillants pour déployer le logiciel espion Predator.

Citizen Lab a divulgué deux autres zéro-day (CVE-2023-41061 et CVE-2023-41064), corrigés par Apple en septembre et exploités dans le cadre d'une chaîne d'exploitation sans clic (baptisée BLASPASS) pour installer le logiciel espion Pegasus de NSO Group.

Depuis le début de l’année, Apple a également patché :

4.4/5 - (27 votes)
Publicité
Article précédentNi Apple ni Samsung n'ont fabriqué les téléphones les plus excitants que j'ai utilisés en 2023
Article suivantLa saison 2 de The Last of Us inclura le contenu éliminé des jeux
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici