Apple a publié des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités zero-day exploitées lors d’attaques sur des systèmes Mac à processeur Intel.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité », a déclaré la société dans un avis publié mardi.
Les deux bogues ont été trouvés dans les composants macOS Sequoia JavaScriptCore (CVE-2024-44308) et WebKit (CVE-2024-44309) de macOS.
La faille JavaScriptCore CVE-2024-44308 permet aux attaquants d’exécuter du code à distance via du contenu Web conçu de manière malveillante. L’autre faille, CVE-2024-44309, permet des attaques de script intersite (CSS).
La société affirme avoir corrigé les failles de sécurité de macOS Sequoia 15.1.1.
Comme les mêmes composants se retrouvent dans d’autres systèmes d’exploitation Apple, il a également été corrigé dans iOS 17.7.2 et iPadOS 17.7.2, iOS 18.1.1 et iPadOS 18.1.1 et visionOS 2.1.1.
Alors qu’Apple affirme que les deux failles ont été découvertes par Clément Lecigne et Benoît Sevens du groupe d’analyse des menaces de Google, la société n’a pas fourni plus de détails sur la manière dont elles ont été exploitées.
Breachtrace a contacté Google pour savoir comment les failles avaient été exploitées, mais on lui a dit qu’ils n’avaient plus rien à partager pour le moment.
Avec ces deux vulnérabilités, Apple a corrigé six jours zéro jusqu’à présent en 2024, le premier en janvier, deux en mars et le quatrième en mai.
Ce nombre est nettement meilleur que l’année dernière, lorsque Apple a corrigé un total de 20 failles zero-day exploitées dans la nature, notamment:
- deux jours zéro (CVE-2023-42916 et CVE-2023-42917) en novembre
- deux jours zéro (CVE-2023-42824 et CVE-2023-5217) en octobre
- cinq jours zéro (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) en septembre
- deux jours zéro (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023 – 32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois jours zéro supplémentaires (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux jours zéro (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre jour zéro WebKit (CVE-2023-23529) en février