Apple a publié des mises à jour d’urgence pour rétroporter les correctifs de sécurité publiés vendredi, corrigeant deux failles zero-day activement exploitées affectant également les anciens iPhone, iPad et Mac.

« Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré la société dans des avis de sécurité publiés lundi.

Le premier (suivi sous le nom de CVE-2023-28206) est une faiblesse d’écriture hors limites dans IOSurfaceAccelerator qui permet aux pirates d’exécuter du code arbitraire avec des privilèges de noyau sur des appareils ciblés via des applications conçues de manière malveillante.

Le deuxième zero-day (CVE-2023-28205) est une utilisation de WebKit après la libération qui peut permettre aux pirates d’exécuter du code malveillant sur des iPhones, Mac ou iPad compromis après avoir incité leurs cibles à charger des pages Web malveillantes.

Aujourd’hui, Apple a abordé les zero-days dans iOS 15.7.5 et iPadOS 15.7.5, macOS Monterey 12.6.5 et macOS Big Sur 11.7.6 en améliorant la validation des entrées et la gestion de la mémoire.

La société indique que les bogues sont désormais également corrigés sur la liste d’appareils suivante :

  • iPhone 6s (tous modèles),
  • iPhone 7 (tous modèles),
  • iPhone SE (1ère génération),
  • iPad Air 2,
  • iPad mini (4ème génération),
  • iPod touch (7ème génération),
  • et les Mac exécutant macOS Monterey et Big Sur.

Les failles ont été signalées par des chercheurs en sécurité du groupe d’analyse des menaces de Google et du laboratoire de sécurité d’Amnesty International, qui ont découvert qu’elles étaient exploitées dans des attaques dans le cadre d’une chaîne d’exploitation.

Les deux organisations signalent souvent des acteurs de la menace soutenus par le gouvernement qui utilisent des tactiques et des vulnérabilités similaires pour installer des logiciels espions sur les appareils d’individus à haut risque dans le monde entier, tels que des journalistes, des politiciens et des dissidents.

Par exemple, ils ont récemment partagé des détails sur des campagnes abusant de deux chaînes d’exploitation ciblant les bogues Android, iOS et Chrome pour installer des logiciels malveillants de surveillance commerciale.

La CISA a également ordonné aux agences fédérales de patcher leurs appareils contre ces deux vulnérabilités de sécurité, connues pour être activement exploitées dans la nature pour pirater les iPhones, les Mac et les iPad.

À la mi-février, Apple a corrigé un autre WebKit zero-day (CVE-2023-23529) qui était dans des attaques pour déclencher des plantages et obtenir l’exécution de code sur des appareils iOS, iPadOS et macOS vulnérables.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *