Apple a déployé lundi des mises à jour de sécurité pour iOS, iPadOS, macOSet Safari pour corriger une faille zero-day qui, selon elle, a été activement exploitée dans la nature.
Suivi comme CVE-2023-23529le problème concerne un bogue de confusion de type dans le moteur de navigateur WebKit qui pourrait être activé lors du traitement de contenu Web conçu de manière malveillante, aboutissant à l’exécution de code arbitraire.
Le fabricant d’iPhone a déclaré que le bogue avait été résolu par des vérifications améliorées, ajoutant qu’il était « au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité ». Un chercheur anonyme a été crédité d’avoir signalé la faille.
On ne sait pas immédiatement comment la vulnérabilité est exploitée dans les attaques du monde réel, mais c’est la deuxième faille de confusion de type activement abusée dans WebKit à être corrigée par Apple après CVE-2022-42856 en autant de mois, qui a été fermé en décembre 2022.
Les failles de WebKit se distinguent également par le fait qu’elles affectent tous les navigateurs Web tiers disponibles pour iOS et iPadOS en raison des restrictions d’Apple qui obligent les fournisseurs de navigateurs à utiliser le même cadre de rendu.
La société a également résolu un problème d’utilisation après libération dans le noyau (CVE-2023-23514) qui pourrait permettre à une application malveillante d’exécuter du code arbitraire avec les privilèges les plus élevés.
Xinru Chi de Pangu Lab et Ned Williamson de Google Project Zero sont crédités d’avoir signalé le problème. Apple a déclaré avoir résolu la vulnérabilité grâce à une meilleure gestion de la mémoire.
Séparément, la dernière mise à jour de macOS corrige également un défaut de confidentialité dans les raccourcis dont une application contenant des logiciels malveillants peut tirer parti pour « observer les données utilisateur non protégées ». Le problème, a noté Apple, a été résolu grâce à une meilleure gestion des fichiers temporaires.
Il est conseillé aux utilisateurs de mettre à jour vers iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 et Safari 16.3.1 pour atténuer les risques potentiels. Les mises à jour sont disponibles pour les appareils suivants –
- iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- Mac exécutant macOS Ventura, macOS Big Sur et macOS Monterey
Apple a corrigé un total de 10 jours zéro couvrant son logiciel en 2022, dont neuf ont été révélés comme activement exploités par des acteurs de la menace. Quatre de ces failles ont été découvertes dans WebKit.