Apple a publié des mises à jour de sécurité pour corriger plusieurs failles de sécurité, notamment deux vulnérabilités qui, selon elle, ont été activement exploitées dans la nature.
Les lacunes sont énumérées ci-dessous –
- CVE-2024-23225 – Un problème de corruption de mémoire dans le noyau qu’un attaquant disposant de capacités arbitraires de lecture et d’écriture du noyau peut exploiter pour contourner les protections de la mémoire du noyau.
- CVE-2024-23296 – Un problème de corruption de mémoire dans le système d’exploitation en temps réel (RTOS) RTKit qu’un attaquant disposant de capacités de lecture et d’écriture arbitraires du noyau peut exploiter pour contourner les protections de la mémoire du noyau.
On ne sait pas encore clairement comment ces failles sont exploitées dans la nature. Apple a déclaré que les deux vulnérabilités avaient été corrigées avec une validation améliorée dans iOS 17.4, iPadOS 17.4, iOS 16.7.6 et iPadOS 16.7.6.
Les mises à jour sont disponibles pour les appareils suivants –
- iOS 16.7.6 et iPadOS 16.7.6 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e génération, iPad Pro 9,7 pouces et iPad Pro 12,9 pouces 1re génération
- iOS 17.4 et iPadOS 17.4 – iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5e génération et ensuite
Avec le dernier développement, Apple a résolu un total de trois jours zéro activement exploités dans ses logiciels depuis le début de l’année. Fin janvier 2024, il a corrigé une faille de confusion de types dans WebKit (CVE-2024-23222) affectant les navigateurs Web iOS, iPadOS, macOS, tvOS et Safari, qui pourrait entraîner l’exécution de code arbitraire.
Ce développement intervient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutée deux failles à ses vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à appliquer les mises à jour nécessaires d’ici le 26 mars 2024.
Les vulnérabilités concernent une faille de divulgation d’informations affectant les appareils Android Pixel (CVE-2023-21237) et une faille d’injection de commandes du système d’exploitation dans Sunhillo SureLine qui pourrait entraîner l’exécution de code avec les privilèges root (CVE-2021-36380).
Google, dans un consultatif publié en juin 2023, a reconnu avoir trouvé des indications selon lesquelles « CVE-2023-21237 pourrait faire l’objet d’une exploitation limitée et ciblée ». Quant au CVE-2021-36380, Fortinet a révélé à la fin de l’année dernière qu’un botnet Mirai appelé IZ1H9 exploitait la faille pour regrouper les appareils sensibles dans un botnet DDoS.