Apple a publié des mises à jour de sécurité pour rétroporter les correctifs publiés le mois dernier, corrigeant un bogue zero-day activement exploité pour les anciens iPhones et iPads.
La vulnérabilité (CVE-2023-23529) est un problème de confusion de type WebKit que la société a corrigé sur les nouveaux appareils iPhone et iPad le 13 février 2023.
Les attaquants potentiels peuvent l’utiliser pour déclencher des plantages du système d’exploitation et obtenir l’exécution de code sur des appareils iOS et iPadOS compromis après une exploitation réussie.
Les acteurs de la menace peuvent alors exécuter du code arbitraire sur les iPhones et iPads ciblés après avoir incité les victimes à ouvrir des pages Web malveillantes (ce bogue affecte également Safari 16.3.1 sur macOS Big Sur et Monterey).
« Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », décrit Apple dans le cas du jour zéro. « Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité. »
Apple a également abordé le jour zéro dans iOS 15.7.4 et iPadOS 15.7.4 aujourd’hui avec des contrôles améliorés.
La liste des appareils concernés comprend l’iPhone 6s (tous les modèles), l’iPhone 7 (tous les modèles), l’iPhone SE (1re génération), l’iPad Air 2, l’iPad mini (4e génération) et l’iPod touch (7e génération).
Premier zero-day exploité dans la nature patché cette année
Même si Apple dit être au courant de rapports selon lesquels cette vulnérabilité a été exploitée dans des attaques, la société n’a pas encore publié d’informations concernant ces incidents.
Cependant, il s’agit d’une procédure standard pour Apple lors de la divulgation de correctifs de sécurité pour les jours zéro exploités dans la nature.
Restreindre l’accès aux détails techniques permet au plus grand nombre d’utilisateurs de sécuriser leurs appareils et ralentit les efforts des attaquants pour développer et déployer des exploits supplémentaires ciblant les appareils vulnérables.
Bien que le zero-day CVE-2023-23529 n’ait probablement été utilisé que dans des attaques ciblées, il est fortement conseillé d’installer les mises à jour de sécurité d’aujourd’hui dès que possible pour bloquer les tentatives d’attaque potentielles ciblant les utilisateurs d’appareils iPhone et iPad exécutant des logiciels plus anciens.
En janvier, Apple a également rétroporté des correctifs pour une faille zero-day exploitable à distance (rapportée par Clément Lecigne du Threat Analysis Group de Google) sur les iPhones et iPads plus anciens.