Apple a publié des mises à jour de sécurité pour remédier à la première vulnérabilité zero-day de cette année exploitée dans des attaques susceptibles d’avoir un impact sur les iPhones, les Mac et les Apple TV.
Le jour zéro corrigé aujourd’hui est suivi comme CVE-2024-23222 [iOS, macOS, tvOS] et est un problème de confusion WebKit que les attaquants pourraient exploiter pour obtenir l’exécution de code sur les appareils ciblés.
Une exploitation réussie permet aux auteurs de menaces d’exécuter du code malveillant arbitraire sur des appareils exécutant des versions vulnérables d’iOS, macOS et tvOS après l’ouverture d’une page Web malveillante.
« Le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code arbitraire. Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité », a déclaré Apple aujourd’hui.
L’entreprise n’a pas encore attribué la découverte de cette faille de sécurité à un chercheur en sécurité. Bien que la société ait révélé qu’elle était au courant de l’exploitation sauvage, elle n’a pas encore publié d’autres détails concernant ces attaques.
Apple a résolu le problème CVE-2024-23222 avec des vérifications améliorées dans iOS 16.7.5 et versions ultérieures, iPadOS 16.7.5 et versions ultérieures, et macOS Monterey 12.7.3 et versions ultérieures, ainsi que sur tvOS 17.3 et versions ultérieures.
La liste complète des appareils concernés par ce jour zéro WebKit est assez longue, car le bogue affecte les modèles plus anciens et plus récents, notamment.
- iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e génération, iPad Pro 9,7 pouces et iPad Pro 12,9 pouces 1re génération
- iPhone XS et modèles ultérieurs, iPad Pro 12,9 pouces 2e génération et modèles ultérieurs, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et modèles ultérieurs, iPad Air 3e génération et modèles ultérieurs, iPad 6e génération et modèles ultérieurs et iPad mini 5e génération et modèles ultérieurs
- Mac exécutant macOS Monterey et versions ultérieures
- Apple TV HD et Apple TV 4K (tous les modèles)
Bien que cette vulnérabilité zero-day n’ait probablement été utilisée que dans des attaques ciblées, il est fortement conseillé d’installer les mises à jour de sécurité d’aujourd’hui dès que possible pour bloquer les tentatives d’attaque potentielles.
Aujourd’hui, Apple a également rétroporté des correctifs sur les anciens modèles d’iPhone et d’iPad pour deux autres jours zéro WebKit (CVE-2023-42916 et CVE-2023-42917) corrigés en novembre.
L’année dernière, la société a corrigé un total de 20 failles zero-day exploitées à l’état sauvage, notamment:
- deux jours zéro (CVE-2023-42916 et CVE-2023-42917) en novembre
- deux jours zéro (CVE-2023-42824 et CVE-2023-5217) en octobre
- cinq jours zéro (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) en septembre
- deux jours zéro (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023 – 32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois jours zéro supplémentaires (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux jours zéro (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre jour zéro WebKit (CVE-2023-23529) en février