Apple a publié des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités iOS zero-day exploitées lors d’attaques sur les iPhones.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité », a déclaré la société dans un avis publié mardi.
Les deux bogues ont été trouvés dans le noyau iOS (CVE-2024-23225) et RTKit (CVE-2024-23296), les deux permettant aux attaquants dotés de capacités arbitraires de lecture et d’écriture du noyau de contourner les protections de la mémoire du noyau.
La société affirme avoir résolu les failles de sécurité des appareils exécutant iOS 17.4, iPadOS 17.4, iOS 16.76 et iPad 16.7.6 avec une validation améliorée des entrées.
La liste des appareils Apple concernés est assez longue et comprend:
- iPhone XS et modèles ultérieurs, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e génération, iPad Pro 9,7 pouces et iPad Pro 12,9 pouces 1re génération
- iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
Apple n’a pas partagé qui a divulgué les deux jours zéro ou s’ils ont été découverts en interne.
Bien qu’Apple n’ait pas publié d’informations sur l’exploitation en cours dans la nature, les vulnérabilités iOS zero-day sont couramment utilisées dans les attaques de logiciels espions parrainées par l’État contre des personnes à haut risque, telles que des journalistes, des politiciens de l’opposition et des dissidents.
Bien que ces vulnérabilités zero-day n’aient probablement été utilisées que dans des attaques ciblées, il est fortement conseillé d’installer les mises à jour de sécurité d’aujourd’hui dès que possible pour bloquer les tentatives d’attaque potentielles.
Avec ces deux vulnérabilités, Apple a corrigé trois jours zéro jusqu’à présent en 2024, le premier en janvier.
L’année dernière, la société a corrigé un total de 20 failles zero-day exploitées à l’état sauvage, notamment:
- deux jours zéro (CVE-2023-42916 et CVE-2023-42917) en novembre
- deux jours zéro (CVE-2023-42824 et CVE-2023-5217) en octobre
- cinq jours zéro (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) en septembre
- deux jours zéro (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023 – 32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois jours zéro supplémentaires (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux jours zéro (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre jour zéro WebKit (CVE-2023-23529) en février