Apple a publié des mises à jour de sécurité pour corriger la première vulnérabilité zero-day de cette année, étiquetée comme activement exploitée dans des attaques ciblant les utilisateurs d’iPhone.

Le jour zéro corrigé aujourd’hui est suivi comme CVE-2025-24085 [iOS/iPad OS, mac OS, tvOS, watchOS, visions] et est une faille de sécurité d’escalade de privilèges dans le framework multimédia principal d’Apple.

« Une application malveillante peut être en mesure d’élever des privilèges. Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 17.2 », a déclaré Apple aujourd’hui.

Selon la documentation officielle de l’entreprise, Core Media « définit le pipeline multimédia utilisé par AVFoundation et d’autres frameworks multimédias de haut niveau trouvés sur les plateformes Apple. »

Apple a corrigé CVE-2024-23222 avec une gestion de la mémoire améliorée dans iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 et tvOS 18.3.

La liste des appareils concernés par ce jour zéro est assez longue, car le bogue affecte les modèles plus anciens et plus récents, notamment:

  • iPhone XS et modèles ultérieurs,
  • iPad Pro 13 pouces, iPad Pro 12,9 pouces 3e génération et versions ultérieures, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 7e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
  • macOS Sequoia
  • Apple Watch Series 6 et versions ultérieures
  • Apple TV HD et Apple TV 4K (tous les modèles)

Apple n’a pas encore attribué la découverte de cette faille de sécurité à un chercheur en sécurité et n’a pas publié de détails sur les attaques, même s’il a révélé qu’elle était exploitée à l’état sauvage.

Bien que ce bogue zero-day n’ait probablement été exploité que dans des attaques ciblées, il est fortement conseillé d’installer les mises à jour de sécurité d’aujourd’hui dès que possible pour bloquer les tentatives d’attaque potentiellement en cours.

L’année dernière, la société a fixé un total de six jours zéro, le premier en janvier, deux en mars, un quatrième en mai et deux autres en novembre,

Un an auparavant, en 2023, Apple avait corrigé 20 failles zero-day exploitées à l’état sauvage, notamment:

  • deux jours zéro (CVE-2023-42916 et CVE-2023-42917) en novembre
  • deux jours zéro (CVE-2023-42824 et CVE-2023-5217) en octobre
  • cinq jours zéro (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) en septembre
  • deux jours zéro (CVE-2023-37450 et CVE-2023-38606) en juillet
  • trois jours zéro (CVE-2023 – 32434, CVE-2023-32435 et CVE-2023-32439) en juin
  • trois jours zéro supplémentaires (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
  • deux jours zéro (CVE-2023-28206 et CVE-2023-28205) en avril
  • et un autre jour zéro WebKit (CVE-2023-23529) en février

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *