Apple a publié lundi correctifs de sécurité pour les navigateurs Web iOS, iPadOS, macOS, tvOS, watchOS et Safari afin de corriger plusieurs failles de sécurité, en plus de rétroporter les correctifs de deux zero-day récemment divulgués vers des appareils plus anciens.
Cela inclut les mises à jour pour 12 vulnérabilités de sécurité sur iOS et iPadOS couvrant AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing et WebKit. macOS Sonoma 14.2de son côté, résout 39 lacunes, comptant six bugs impactant la bibliothèque ncurses.
Parmi les failles notables figure CVE-2023-45866, un problème de sécurité critique qui pourrait permettre à un attaquant se trouvant dans une position privilégiée sur le réseau d’injecter des frappes au clavier en usurpant un clavier.
La vulnérabilité a été révélée la semaine dernière par Marc Newlin, chercheur en sécurité chez SkySafe. Il a été corrigé dans iOS 17.2, iPadOS 17.2 et macOS Sonoma 14.2 avec des contrôles améliorés, a indiqué le fabricant de l’iPhone.
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
Également publié par Apple, c’est Safari 17.2, contenant des correctifs pour deux failles WebKit – CVE-2023-42890 et CVE-2023-42883 – qui pourraient conduire à l’exécution de code arbitraire et à une condition de déni de service (DoS). La mise à jour est disponible pour les Mac exécutant macOS Monterey et macOS Ventura.
iOS 17.2 et iPadOS 17.2, en plus de corriger un bug Siri qui pourrait permettre à un adversaire disposant d’un accès physique d’obtenir des données sensibles, intègre une mise à niveau de sécurité sous la forme de Contacter la vérification des clésqui garantit la confidentialité des conversations iMessage en permettant aux utilisateurs de vérifier les contacts avec lesquels ils communiquent.
“iMessage Contact Key Verification fait progresser l’état de l’art des déploiements de Key Transparency en permettant aux appareils des utilisateurs de vérifier eux-mêmes les preuves de cohérence et d’assurer la cohérence du système KT sur tous les appareils des utilisateurs pour un compte”, Apple noté dans un explicatif technique en octobre 2023.
“Ces améliorations protègent contre la compromission des répertoires clés ainsi que contre la compromission du service de transparence lui-même, et peuvent détecter les vues partagées présentées par les deux services.”
Coïncidant avec les mises à jour, Apple a également publié iOS 16.7.3 et iPadOS 16.7.3 pour résoudre jusqu’à huit problèmes de sécurité, dont deux concernent WebKit (CVE-2023-42916 et CVE-2023-42917) et ont été révélés par Redmond comme ayant été activement exploités dans la nature au début du mois.
Les deux vulnérabilités ont été corrigées tvOS 17.2 et montreOS 10.2 aussi. Aucun détail supplémentaire n’est encore disponible concernant la nature de l’exploitation et les acteurs menaçants qui pourraient les utiliser.