Apple a publié des mises à jour de sécurité d’urgence pour corriger une nouvelle faille de sécurité zero-day exploitée dans des attaques ciblant les utilisateurs d’iPhone et d’iPad.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.6 », la société a dit dans un avis publié mercredi.

Le jour zéro (CVE-2023-42824) est dû à une faiblesse découverte dans le noyau XNU qui permet aux attaquants locaux d’élever leurs privilèges sur les iPhones et iPads non corrigés.

Bien qu’Apple ait déclaré avoir résolu le problème de sécurité dans iOS 17.0.3 et iPadOS 17.0.3 avec des contrôles améliorés, il n’a pas encore révélé qui a trouvé et signalé la faille.

La liste des appareils concernés est assez longue et comprend :

• iPhone XS et versions ultérieures
• iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures

Apple a également abordé un problème de jour zéro suivi comme CVE-2023-5217 et causé par un débordement de tampon de tas faiblesse du codage VP8 de la bibliothèque de codecs vidéo open source libvpx, qui pourrait permettre l’exécution de code arbitraire après une exploitation réussie.

Le bug libvpx avait déjà été corrigé par Google dans le navigateur Web Chrome et par Microsoft dans ses produits Edge, Teams et Skype.

CVE-2023-5217 a été découvert par le chercheur en sécurité Clément Lecigne qui fait partie du Threat Analysis Group (TAG) de Google, une équipe d’experts en sécurité connue pour trouver souvent des failles Zero Day dans les attaques de logiciels espions ciblées soutenues par le gouvernement et ciblant des individus à haut risque.

17 zero-day exploités dans des attaques corrigées cette année

CVE-2023-42824 est la 17e vulnérabilité zero-day exploitée lors d’attaques qu’Apple a corrigée depuis le début de l’année.

Apple a également récemment corrigé trois autres bogues zero-day (CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) signalés par les chercheurs du Citizen Lab et de Google TAG et exploités dans des attaques de logiciels espions pour installer le logiciel espion Predator de Cytrox.

Citizen Lab a divulgué deux autres failles Zero Day (CVE-2023-41061 et CVE-2023-41064) — corrigées par Apple le mois dernier — utilisées de manière abusive dans le cadre d’une chaîne d’exploitation sans clic (baptisée BLASTPASS) pour infecter des iPhones entièrement corrigés avec le code de NSO Group. Logiciel espion Pegasus.

Depuis janvier 2023, Apple a corrigé un total de 17 failles Zero Day exploitées pour cibler les iPhones et Mac, notamment :

La version iOS 17.0.3 d’aujourd’hui résout également un problème connu provoquant la surchauffe des iPhones exécutant iOS 17.0.2 et versions antérieures.

« Cette mise à jour fournit des corrections de bugs importantes, des mises à jour de sécurité et résout un problème qui peut entraîner une surchauffe de l’iPhone que prévu. » Apple a dit.