Apple a corrigé trois nouvelles vulnérabilités zero-day exploitées dans des attaques pour pirater les iPhones, les Mac et les iPad.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a révélé la société dans des avis de sécurité décrivant les failles.

Les bogues de sécurité ont tous été trouvés dans le moteur de navigateur WebKit multiplateforme et sont suivis comme CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373.

La première vulnérabilité est une fuite de bac à sable qui permet à des attaquants distants de sortir des bacs à sable de contenu Web.

Les deux autres sont une lecture hors limites qui peut aider les attaquants à accéder à des informations sensibles et un problème d’utilisation après libération qui permet d’exécuter du code arbitraire sur des appareils compromis, à la fois après avoir incité les cibles à charger des pages Web conçues de manière malveillante ( contenu Web).

Apple a abordé les trois jours zéro dans macOS Ventura 13.4, iOS et iPadOS 16.5, tvOS 16.5, watchOS 9.5 et Safari 16.5 avec des contrôles de limites améliorés, une validation des entrées et une gestion de la mémoire.

La liste des appareils concernés est assez longue, car le bogue affecte les modèles plus anciens et plus récents, et comprend :

  • iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération), iPod touch (7e génération) et iPhone 8 et versions ultérieures
  • iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
  • Mac exécutant macOS Big Sur, Monterey et Ventura
  • Apple Watch série 4 et versions ultérieures
  • Apple TV 4K (tous les modèles) et Apple TV HD

La société a également révélé que CVE-2023-28204 et CVE-2023-32373 (rapportés par des chercheurs anonymes) ont été résolus pour la première fois avec les correctifs Rapid Security Response (RSR) pour les appareils iOS 16.4.1 et macOS 13.3.1 publiés le 1er mai.

Un porte-parole d’Apple n’a pas répondu à une demande de plus de détails lorsqu’il a été contacté par Breachtrace à l’époque concernant les défauts corrigés avec les mises à jour RSR de mai.

Six zero-days corrigés depuis le début de 2023
Alors qu’Apple dit être conscient que les trois correctifs zéro-days d’aujourd’hui sont en cours d’exploitation, il n’a partagé aucune information concernant ces attaques.

Cependant, les avis d’aujourd’hui révèlent que CVE-2023-32409 a été signalé par Clément Lecigne du Threat Analysis Group de Google et Donncha Ó Cearbhaill du Security Lab d’Amnesty International.

Les organisations dont font partie les deux chercheurs divulguent régulièrement des détails sur les campagnes soutenues par l’État exploitant des bogues du jour zéro pour déployer des logiciels espions mercenaires sur les smartphones et les ordinateurs des politiciens, des journalistes, des dissidents, etc.

En avril, Apple a corrigé deux autres failles zero-day (CVE-2023-28206 et CVE-2023-28205) faisant partie des chaînes d’exploitation sauvages d’Android, iOS et Chrome, vulnérabilités zero-day et n-day, abusées pour déployer des logiciels espions commerciaux sur les appareils des cibles à haut risque dans le monde entier.

En février, Apple a adressé un autre WebKit zero-day (CVE-2023-23529) exploité dans des attaques pour obtenir l’exécution de code sur des iPhone, iPad et Mac vulnérables.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *