Apple le jeudi déployé des mises à jour de sécurité à iOS, iPadOS, macOS, tvOS, watchOS et le navigateur Web Safari pour résoudre trois nouvelles failles zero-day qui, selon lui, sont activement exploitées dans la nature.
Les trois lacunes de sécurité sont énumérées ci-dessous –
- CVE-2023-32409 – Une faille WebKit qui pourrait être exploitée par un acteur malveillant pour sortir du bac à sable Web Content. Il a été résolu avec des contrôles de limites améliorés.
- CVE-2023-28204 – Un problème de lecture hors limites dans WebKit qui pourrait être abusé pour divulguer des informations sensibles lors du traitement du contenu Web. Il a été résolu par une meilleure validation des entrées.
- CVE-2023-32373 – Un bogue gratuit d’utilisation ultérieure dans WebKit qui pourrait entraîner l’exécution de code arbitraire lors du traitement de contenu Web conçu de manière malveillante. Il a été résolu par une meilleure gestion de la mémoire.
Le fabricant d’iPhone a crédité Clément Lecigne du Threat Analysis Group (TAG) de Google et Donncha Ó Cearbhaill du Security Lab d’Amnesty International pour avoir signalé CVE-2023-32409. Un chercheur anonyme a été reconnu pour avoir signalé les deux autres problèmes.
Il convient de noter que CVE-2023-28204 et CVE-2023-32373 ont été corrigés dans le cadre de Mises à jour de la réponse rapide de sécurité – iOS 16.4.1 (a) et iPadOS 16.4.1 (a) – la société a publié au début du mois.
Il n’y a actuellement aucune précision technique supplémentaire sur les failles, la nature des attaques ou l’identité des acteurs de la menace qui pourraient les exploiter.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Cela dit, ces faiblesses ont toujours été exploitées dans le cadre d’intrusions très ciblées pour déployer des logiciels espions mercenaires sur les appareils de dissidents, de journalistes et de militants des droits de l’homme, entre autres.
Les dernières mises à jour sont disponibles pour les appareils suivants –
- iOS 16.5 et iPadOS 16.5 – iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- iOS 15.7.6 et iPadOS 15.7.6 – iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération) et iPod touch (7e génération)
- macOS Ventura 13.4 – macOS Ventura
- tvOS 16.5 – Apple TV 4K (tous les modèles) et Apple TV HD
- watchOS 9.5 – Apple Watch série 4 et versions ultérieures
- Safari 16.5 – macOS Big Sur et macOS Monterey
Apple a jusqu’à présent corrigé un total de six zero-days activement exploités depuis le début de 2023. Plus tôt en février, la société a corrigé une faille WebKit (CVE-2023-23529) qui pourrait conduire à l’exécution de code à distance.
Puis le mois dernier, il a livré des correctifs pour une paire de vulnérabilités (CVE-2023-28205 et CVE-2023-28206) qui permettaient l’exécution de code avec des privilèges élevés. Lecigne et Ó Cearbhaill ont été crédités d’avoir signalé les défauts de sécurité.
