Apple a libéré mises à jour logicielles pour le navigateur Web iOS, iPadOS, macOS et Safari pour corriger deux failles de sécurité qui, selon lui, ont été activement exploitées dans la nature sur les anciennes versions de son logiciel.
Les vulnérabilités, qui résident toutes deux dans le moteur du navigateur Web WebKit, sont décrites ci-dessous :
- CVE-2023-42916 – Un problème de lecture hors limites qui pourrait être exploité pour divulguer des informations sensibles lors du traitement du contenu Web.
- CVE-2023-42917 – Un bug de corruption de mémoire pouvant entraîner l’exécution de code arbitraire lors du traitement du contenu Web.
Apple a déclaré être au courant de rapports exploitant les lacunes « des versions d’iOS antérieures à iOS 16.7.1 », publiés le 10 octobre 2023. Clément Lecigne du Threat Analysis Group (TAG) de Google a été crédité d’avoir découvert et signalé les deux failles. .
Le fabricant de l’iPhone n’a pas fourni d’informations supplémentaires sur l’exploitation en cours, mais les failles Zero Day dans iOS précédemment révélées ont été utilisées pour diffuser des logiciels espions mercenaires ciblant des individus à haut risque, tels que des militants, des dissidents, des journalistes et des politiciens.
Il convient de souligner ici que tous les navigateurs Web tiers disponibles pour iOS et iPadOS, notamment Google Chrome, Mozilla Firefox et Microsoft Edge, entre autres, sont alimentés par le moteur de rendu WebKit en raison des restrictions imposées par Apple, ce qui en fait un moteur de rendu WebKit. surface d’attaque lucrative et large.
Les mises à jour sont disponibles pour les appareils et systèmes d’exploitation suivants –
- iOS 17.1.2 et iPadOS 17.1.2 – iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5e génération et ensuite
- macOS Sonoma 14.1.2 – Mac exécutant macOS Sonoma
- Safari 17.1.2 – Mac exécutant macOS Monterey et macOS Ventura
Avec les derniers correctifs de sécurité, Apple a corrigé jusqu’à 19 failles Zero Day activement exploitées depuis le début de l’année 2023. Cela intervient également quelques jours après que Google a publié des correctifs pour une faille de haute gravité dans Chrome (CVE-2023-6345) qui a également faire l’objet d’attaques réelles, ce qui en fait le septième jour zéro à être corrigé par l’entreprise cette année.