Apple a publié des mises à jour de sécurité pour iOS, iPadOS, macOS, visionOS et son navigateur Web Safari pour corriger deux failles zero-day qui sont activement exploitées dans la nature.
Les défauts sont répertoriés ci-dessous –
- CVE-2024-44308 – Une vulnérabilité dans JavaScriptCore qui pourrait conduire à l’exécution de code arbitraire lors du traitement de contenu Web malveillant
- CVE-2024-44309 – Une vulnérabilité de gestion des cookies dans WebKit qui pourrait conduire à une attaque de cross-site scripting (XSS) lors du traitement de contenu Web malveillant
Le fabricant d’iPhone a déclaré avoir corrigé CVE-2024-44308 et CVE-2024-44309 avec des contrôles améliorés et une gestion améliorée de l’état, respectivement.
On ne sait pas grand-chose sur la nature exacte de l’exploitation, mais Apple a reconnu que ces deux vulnérabilités « pourraient avoir été activement exploitées sur les systèmes Mac à processeur Intel ».
Clément Lecigne et Benoît Sevens du Threat Analysis Group (TAG) de Google ont été reconnus pour avoir découvert et signalé les deux failles, indiquant qu’elles ont probablement été utilisées dans le cadre d’attaques de logiciels espions hautement ciblées, soutenues par le gouvernement ou par des mercenaires.
Les mises à jour sont disponibles pour les appareils et systèmes d’exploitation suivants –
- iOS 18.1.1 et iPadOS 18.1.1 – iPhone XS et versions ultérieures, iPad Pro 13 pouces, iPad Pro 12,9 pouces 3e génération et versions ultérieures, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 7e génération et versions ultérieures et iPad mini 5e génération et plus tard
- iOS 17.7.2 et iPadOS 17.7.2 – iPhone XS et versions ultérieures, iPad Pro 13 pouces, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures , et iPad mini 5e génération et versions ultérieures
- macOS Séquoia 15.1.1 – Mac exécutant macOS Sequoia
- visionOS 2.1.1 – Apple Vision Pro
- Safari 18.1.1 – Mac exécutant macOS Ventura et macOS Sonoma
Apple a jusqu’à présent résolu un total de quatre jours zéro dans ses logiciels cette année, dont un (CVE-2024-27834) qui a été démontré lors du concours de piratage Pwn2Own de Vancouver. Les trois autres ont été corrigés en janvier et mars 2024.
Il est conseillé aux utilisateurs de mettre à jour leurs appareils vers la dernière version dès que possible pour se protéger contre les menaces potentielles.