08 avril 2023Ravie LakshmananZero-Day / Sécurité des terminaux

Jour Zéro Apple

Apple a publié vendredi des mises à jour de sécurité pour iOS, iPadOS, macOSet Navigateur Web Safari pour corriger une paire de failles zero-day qui sont exploitées dans la nature.

Les deux vulnérabilités sont les suivantes –

  • CVE-2023-28205 – UN utiliser après le numéro gratuit dans WebKit qui pourrait conduire à l’exécution de code arbitraire lors du traitement de contenu Web spécialement conçu.
  • CVE-2023-28206 – Un problème d’écriture hors limites dans IOSurfaceAccelerator qui pourrait permettre à une application d’exécuter du code arbitraire avec les privilèges du noyau.

Apple a déclaré avoir traité CVE-2023-28205 avec une meilleure gestion de la mémoire et le second avec une meilleure validation des entrées, ajoutant qu’il était conscient que les bogues « pourraient avoir été activement exploités ».

Clément Lecigne du Threat Analysis Group (TAG) de Google et Donncha Ó Cearbhaill du Security Lab d’Amnesty International sont crédités d’avoir découvert et signalé les failles.

Publicité

Les détails sur les deux vulnérabilités ont été retenus à la lumière de l’exploitation active et pour empêcher davantage d’acteurs malveillants d’en abuser.

Les mises à jour sont disponibles dans les versions iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 et Safari 16.4.1. Les correctifs couvrent également une large gamme d’appareils –

  • iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
  • Mac exécutant macOS Big Sur, Monterey et Ventura

Apple a corrigé trois zero-days depuis le début de l’année. En février, Apple a abordé un autre zero-day activement exploité (CVE-2023-23529) dans WebKit qui pourrait entraîner l’exécution de code arbitraire.

Le développement intervient également alors que Google TAG a révélé que les fournisseurs de logiciels espions commerciaux exploitent les jours zéro dans Android et iOS pour infecter les appareils mobiles avec des logiciels malveillants de surveillance.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentSoyez bruyant, fier, désordonné et allez de l’avant avec Hardee’s
Article suivantIs Big Tech’s R&D Spending Actually Hurting Innovation in the U.S.?
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici