Apple a publié des mises à jour de sécurité d’urgence pour résoudre deux nouvelles vulnérabilités de type « zero-day » exploitées dans des attaques visant à compromettre les iPhones, les Mac et les iPad.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré la société en décrivant les problèmes dans les avis de sécurité publiés vendredi.

La première faille de sécurité (suivie en tant que CVE-2023-28206) est une écriture hors limites IOSurfaceAccelerator qui pourrait entraîner une corruption des données, un plantage ou l’exécution de code.

Une exploitation réussie permet aux attaquants d’utiliser une application conçue de manière malveillante pour exécuter du code arbitraire avec les privilèges du noyau sur les appareils ciblés.

Le deuxième zero-day (CVE-2023-28205) est une utilisation de WebKit après une faiblesse gratuite qui permet la corruption de données ou l’exécution de code arbitraire lors de la réutilisation de la mémoire libérée.

Cette faille peut être exploitée en incitant les cibles à charger des pages Web malveillantes sous le contrôle des attaquants, ce qui pourrait conduire à l’exécution de code sur des systèmes compromis.

Les deux vulnérabilités zero-day ont été corrigées dans iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 et Safari 16.4.1 avec une validation des entrées et une gestion de la mémoire améliorées.

Apple affirme que la liste des appareils concernés est assez longue et comprend :

  • iPhone 8 et versions ultérieures,
  • iPad Pro (tous modèles),
  • iPad Air 3e génération et versions ultérieures,
  • iPad 5e génération et plus tard,
  • iPad mini 5e génération et plus tard,
  • et les Mac exécutant macOS Ventura.

Trois zero-days patchés depuis le début de l’année
Même si Apple dit être au courant des rapports d’exploitation dans la nature, la société n’a pas encore publié d’informations concernant ces attaques.

Cependant, il a révélé que les deux failles avaient été signalées par Clément Lecigne du Threat Analysis Group de Google et Donncha Ó Cearbhaill du Security Lab d’Amnesty International après les avoir trouvées exploitées dans la nature dans le cadre d’une chaîne d’exploitation.

Les deux organisations divulguent régulièrement des campagnes exploitant des bogues du jour zéro exploités par des acteurs de la menace parrainés par le gouvernement pour déployer des logiciels espions commerciaux sur les smartphones et les ordinateurs des politiciens, des journalistes, des dissidents et d’autres personnes à haut risque dans le monde entier.

La semaine dernière, Google TAG et Amnesty International ont dévoilé deux séries récentes d’attaques utilisant des chaînes d’exploitation des failles zero-day et n-day d’Android, iOS et Chrome pour déployer des logiciels espions mercenaires.

Alors que les correctifs zero-days d’aujourd’hui n’étaient très probablement utilisés que dans des attaques très ciblées, il est fortement recommandé d’installer ces mises à jour d’urgence dès que possible pour bloquer les tentatives d’attaque potentielles.

En février, Apple a abordé un autre WebKit zero-day (CVE-2023-23529) exploité dans des attaques pour déclencher des plantages du système d’exploitation et obtenir l’exécution de code sur les iPhone, iPad et Mac vulnérables.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *