Apple a déployé des mises à jour de sécurité à iOS, iPadOS, macOS, tvOS, watchOS et Safari pour résoudre plusieurs vulnérabilités de sécurité, dont un bogue zero-day activement exploité dans la nature.
Suivi comme CVE-2023-38606, la lacune réside dans le noyau et permet à une application malveillante de modifier potentiellement l’état sensible du noyau. La société a déclaré que le problème avait été résolu par une meilleure gestion de l’État.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre des versions d’iOS publiées avant iOS 15.7.1 », a noté le géant de la technologie dans son avis.
Il convient de noter que CVE-2023-38606 est la troisième vulnérabilité de sécurité découverte dans le cadre de l’opération Triangulation, une campagne sophistiquée de cyberespionnage mobile ciblant les appareils iOS depuis 2019 à l’aide d’une chaîne d’exploitation sans clic. Les deux autres zero-days, CVE-2023-32434 et CVE-2023-32435, ont été corrigés par Apple le mois dernier.
Les chercheurs de Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko et Boris Larin ont été crédités d’avoir découvert et signalé la faille.
Les mises à jour sont disponibles pour les appareils et systèmes d’exploitation suivants –
- iOS 16.6 et iPadOS 16.6 – iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- iOS 15.7.8 et iPadOS 15.7.8 – iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération) et iPod touch (7e génération)
- macOS Ventura 13.5, macOS Monterey 12.6.8et macOS Big Sur 11.7.9
- tvOS 16.6 – Apple TV 4K (tous les modèles) et Apple TV HD, et
- watchOS 9.6 – Apple Watch série 4 et versions ultérieures
Avec la dernière série de correctifs, Apple a résolu un total de 11 jours zéro impactant son logiciel depuis le début de 2023. Cela survient également deux semaines après que la société a publié des correctifs d’urgence pour un bogue d’exécution de code à distance dans WebKit qui pourrait conduire à l’exécution de code arbitraire (CVE-2023-37450).