Apple a publié des mises à jour de sécurité d'urgence pour rétroporter les correctifs de deux failles zero-day activement exploitées sur les anciens iPhones et certains modèles d'Apple Watch et d'Apple TV.
« Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été exploité sur des versions d'iOS antérieures à iOS 16.7.1 », a déclaré la société dans un communiqué. sécurité avis publié le lundi.
Les deux vulnérabilités, désormais suivies sous les noms CVE-2023-42916 et CVE-2023-42917, ont été découvertes dans le moteur de navigateur WebKit, développé par Apple et utilisé par le navigateur Web Safari de l'entreprise sur ses plates-formes (par exemple, macOS, iOS, iPadOS). .
Ils peuvent permettre aux attaquants d'accéder à des données sensibles et d'exécuter du code arbitraire à l'aide de pages Web malveillantes conçues pour exploiter les bogues hors limites et de corruption de mémoire sur les appareils non corrigés.
Aujourd'hui, Apple a abordé la question du zéro jour dans iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2et montreOS 10.2 avec une validation et un verrouillage des entrées améliorés.
La société affirme que les bogues sont désormais également corrigés sur la liste d’appareils suivante :
- iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- Apple TV HD et Apple TV 4K (tous les modèles)
- Apple Watch Series 4 et versions ultérieures
Clément Lecigne, chercheur en sécurité du Threat Analysis Group (TAG) de Google, a découvert et signalé les deux vulnérabilités zero-day.
Bien qu'Apple n'ait pas encore fourni de détails sur l'exploitation des vulnérabilités dans les attaques, les chercheurs de Google TAG ont fréquemment identifié et divulgué des informations sur des failles zero-day utilisées dans des attaques de logiciels de surveillance parrainées par l'État ciblant des personnalités de premier plan, notamment des journalistes, des personnalités de l'opposition, et les dissidents.
CISA également commandé Les agences fédérales du pouvoir exécutif civil (FCEB) ont décidé la semaine dernière, le 4 décembre, de corriger leurs appareils contre ces deux vulnérabilités de sécurité sur la base de preuves d'exploitation active.
Depuis le début de l’année, Apple a corrigé 20 vulnérabilités zero-day exploitées lors d’attaques :