Apple a publié des mises à jour de sécurité pour les anciens iPhones et iPads afin de rétroporter les correctifs publiés il y a une semaine, corrigeant deux vulnérabilités zero-day exploitées lors d’attaques.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.6 », la société a dit dans un avis.

Le premier zero-day (suivi comme CVE-2023-42824) est une vulnérabilité d’élévation de privilèges causée par une faiblesse du noyau XNU qui peut permettre à des attaquants locaux d’élever les privilèges sur les iPhones et iPads vulnérables.

Apple a également résolu le problème dans iOS 16.7.1 et iPadOS 16.7.1 avec des contrôles améliorés, mais il n’a pas encore révélé qui a découvert et signalé la faille.

Le second, un bug identifié comme CVE-2023-5217, est causé par une vulnérabilité de dépassement de tampon de tas dans le codage VP8 de la bibliothèque de codecs vidéo open source libvpx. Cette faille pourrait permettre aux auteurs de menaces d’exécuter du code arbitraire en cas d’exploitation réussie.

Même si Apple n’a confirmé aucun cas d’exploitation dans la nature, Google a précédemment corrigé le bug libvpx en tant que zero-day dans son navigateur Web Chrome. Microsoft a également corrigé la même vulnérabilité dans ses produits Edge, Teams et Skype.

Google a attribué la découverte de CVE-2023-5217 au chercheur en sécurité Clément Lecigne, membre du Threat Analysis Group (TAG) de Google, une équipe d’experts en sécurité connue pour avoir découvert les failles Zero Day exploitées dans le cadre d’attaques de logiciels espions ciblées soutenues par l’État et visant des cibles de haut niveau. individus à risque.

La liste des appareils concernés par les deux bogues zero-day est longue et comprend :

• iPhone 8 et versions ultérieures
• iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures

CISA a ajouté les deux vulnérabilités [1, 2] à son catalogue de vulnérabilités exploitées connues la semaine dernière, ordonnant aux agences fédérales de sécuriser leurs appareils contre les attaques entrantes.

Apple a également récemment résolu trois problèmes de type zéro jour (CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) signalés par des chercheurs du Citizen Lab et de Google TAG. Les acteurs malveillants les ont exploités pour déployer le logiciel espion Predator de Cytrox.

De plus, Citizen Lab a découvert deux autres vulnérabilités zero-day (CVE-2023-41061 et CVE-2023-41064) qui ont été corrigées par Apple le mois dernier.

Ces failles ont été exploitées dans le cadre d’une chaîne d’exploitation sans clic connue sous le nom de BLASTPASS et utilisée pour installer le logiciel espion Pegasus de NSO Group sur des iPhones entièrement corrigés.

Depuis le début de l’année, Apple a corrigé 18 vulnérabilités zero-day exploitées de manière sauvage pour cibler les iPhones et Mac, notamment :