Apple a publié lundi des mises à jour de sécurité pour les navigateurs Web iOS, iPadOS, macOS, tvOS et Safari afin de corriger une faille zero-day qui a été activement exploitée dans la nature.
Le problème, suivi comme CVE-2024-23222, est un bug de confusion de type qui pourrait être exploité par un acteur malveillant pour exécuter du code arbitraire lors du traitement de contenu Web conçu de manière malveillante. Le géant de la technologie a déclaré que le problème avait été résolu grâce à des contrôles améliorés.
Vulnérabilités liées à la confusion des typesen général, pourrait être utilisé pour effectuer un accès mémoire hors limites, ou conduire à un crash et à l’exécution de code arbitraire.
Apple, dans un avis laconique, a reconnu qu’il était « au courant d’un rapport selon lequel ce problème pourrait avoir été exploité », mais n’a pas partagé d’autres détails sur la nature des attaques ou sur les acteurs malveillants qui exploitent cette lacune.
Les mises à jour sont disponibles pour les appareils et systèmes d’exploitation suivants –
- iOS 17.3 et iPadOS 17.3 – iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5e génération et ensuite
- iOS 16.7.5 et iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e génération, iPad Pro 9,7 pouces et iPad Pro 12,9 pouces 1re génération
- macOS Sonoma 14.3 – Mac exécutant macOS Sonoma
- macOS Ventura 13.6.4 – Mac exécutant macOS Ventura
- macOS Monterey 12.7.3 – Mac exécutant macOS Monterey
- tvOS 17.3 – Apple TV HD et Apple TV 4K (tous les modèles)
- Safari 17.3 – Mac exécutant macOS Monterey et macOS Ventura
Ce développement constitue la première vulnérabilité Zero Day activement exploitée à être corrigée par Apple cette année. L’année dernière, le fabricant d’iPhone s’est attaqué à 20 failles Zero Day utilisées dans des attaques réelles.
En outre, Apple a également rétroporté les correctifs pour CVE-2023-42916 et CVE-2023-42917 – pour lesquels les correctifs ont été publiés en décembre 2023 – sur des appareils plus anciens –
- iOS 15.8.1 et iPadOS 15.8.1 – iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération) et iPod touch (7e génération)
Cette divulgation fait également suite à un rapport selon lequel les autorités chinoises révélé qu’ils ont utilisé des vulnérabilités précédemment connues dans la fonctionnalité AirDrop d’Apple pour aider les forces de l’ordre à identifier les expéditeurs de contenu inapproprié, en utilisant une technique basée sur les tables arc-en-ciel.