Apple a publié vendredi des mises à jour de sécurité pour iOS, iPadOS, macOSet Navigateur Web Safari pour corriger une paire de failles zero-day qui sont exploitées dans la nature.
Les deux vulnérabilités sont les suivantes –
- CVE-2023-28205 – UN utiliser après le numéro gratuit dans WebKit qui pourrait conduire à l’exécution de code arbitraire lors du traitement de contenu Web spécialement conçu.
- CVE-2023-28206 – Un problème d’écriture hors limites dans IOSurfaceAccelerator qui pourrait permettre à une application d’exécuter du code arbitraire avec les privilèges du noyau.
Apple a déclaré avoir traité CVE-2023-28205 avec une meilleure gestion de la mémoire et le second avec une meilleure validation des entrées, ajoutant qu’il était conscient que les bogues « pourraient avoir été activement exploités ».
Clément Lecigne du Threat Analysis Group (TAG) de Google et Donncha Ó Cearbhaill du Security Lab d’Amnesty International sont crédités d’avoir découvert et signalé les failles.
Les détails sur les deux vulnérabilités ont été retenus à la lumière de l’exploitation active et pour empêcher davantage d’acteurs malveillants d’en abuser.
Les mises à jour sont disponibles dans les versions iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 et Safari 16.4.1. Les correctifs couvrent également une large gamme d’appareils –
- iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- Mac exécutant macOS Big Sur, Monterey et Ventura
Apple a corrigé trois zero-days depuis le début de l’année. En février, Apple a abordé un autre zero-day activement exploité (CVE-2023-23529) dans WebKit qui pourrait entraîner l’exécution de code arbitraire.
Le développement intervient également alors que Google TAG a révélé que les fournisseurs de logiciels espions commerciaux exploitent les jours zéro dans Android et iOS pour infecter les appareils mobiles avec des logiciels malveillants de surveillance.