Apple a déployé mercredi des correctifs de sécurité pour corriger une nouvelle faille zero-day dans iOS et iPadOS qui, selon elle, est activement exploitée dans la nature.
Suivi comme CVE-2023-42824, la vulnérabilité du noyau pourrait être exploitée par un attaquant local pour élever ses privilèges. Le fabricant d’iPhone a déclaré avoir résolu le problème en améliorant les contrôles.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.6 », a déclaré la société. noté dans un avis laconique.
Bien que des détails supplémentaires sur la nature des attaques et l’identité des auteurs de la menace qui les commettent soient actuellement inconnus, une exploitation réussie dépend probablement de la capacité de l’attaquant à prendre déjà pied par d’autres moyens.
La dernière mise à jour d’Apple résout également le CVE-2023-5217 affectant le composant WebRTC, que Google a décrit la semaine dernière comme un débordement de tampon basé sur le tas dans le format de compression VP8 dans libvpx.
Les correctifs, iOS 17.0.3 et iPadOS 17.0.3, sont disponibles pour les appareils suivants :
- iPhone XS et versions ultérieures
- iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
Avec ce nouveau développement, Apple a résolu un total de 17 jours zéro activement exploités dans ses logiciels depuis le début de l’année.
Il arrive également deux semaines après que Cupertino a déployé des correctifs pour résoudre trois problèmes (CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993), qui auraient tous été abusés par un fournisseur de logiciels espions israélien nommé Cytrox va déployer le malware Predator sur l’iPhone appartenant à l’ancien député égyptien Ahmed Eltantawy plus tôt cette année.
Un point à noter ici est que CVE-2023-41992 fait également référence à une lacune dans le noyau qui permet aux attaquants locaux d’obtenir une élévation de privilèges.
Il n’est pas immédiatement clair si les deux failles ont un lien entre elles et si CVE-2023-42824 est un contournement de correctif pour CVE-2023-41992.
Sekoia, dans une analyse récente, a déclaré avoir trouvé des similitudes d’infrastructure entre les clients de Cytrox (alias Lycantrox) et une autre société commerciale de logiciels espions appelée Candiru (alias Karkadann), probablement parce qu’ils utilisent les deux technologies de logiciels espions.
« L’infrastructure utilisée par Lycantrox est constituée de VPS hébergés dans plusieurs systèmes autonomes », précise la société française de cybersécurité. ditchaque client semblant exécuter ses propres instances de VPS et gérer ses propres noms de domaine qui y sont associés.
Il est recommandé aux utilisateurs qui risquent d’être ciblés d’activer le mode de verrouillage afin de réduire l’exposition aux exploits de logiciels espions mercenaires.