Apple a publié une nouvelle série de mises à jour Rapid Security Response (RSR) pour résoudre un nouveau bogue du jour zéro exploité dans les attaques et affectant les iPhones, Mac et iPad entièrement corrigés.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », indique la société dans les avis iOS et macOS en décrivant la vulnérabilité CVE-2023-37450 signalée par un chercheur en sécurité anonyme.
« Cette réponse rapide de sécurité fournit des correctifs de sécurité importants et est recommandée pour tous les utilisateurs », avertit Apple sur les systèmes sur lesquels les correctifs RSR sont fournis.
Les correctifs RSR ont été introduits sous forme de mises à jour compactes conçues pour résoudre les problèmes de sécurité sur les plates-formes iPhone, iPad et Mac, et ils servent à résoudre les problèmes de sécurité qui surviennent entre les mises à jour logicielles majeures, selon ce document de support.
En outre, certaines mises à jour de sécurité hors bande peuvent également être utilisées pour contrer les vulnérabilités de sécurité activement exploitées lors d’attaques.
Si vous désactivez les mises à jour automatiques ou n’installez pas Rapid Security Responses lorsqu’il vous est proposé, votre appareil sera corrigé dans le cadre des futures mises à niveau logicielles.
La liste actuelle des correctifs d’urgence comprend :
- macOS Ventura 13.4.1 (a)
- iOS 16.5.1 (a)
- iPadOS 16.5.1 (a)
La faille a été trouvée dans le moteur de navigateur WebKit développé par Apple, et elle permet aux attaquants d’obtenir l’exécution de code arbitraire sur des appareils ciblés en incitant les cibles à ouvrir des pages Web contenant du contenu conçu de manière malveillante.
L’entreprise a corrigé cette faille de sécurité en améliorant les contrôles pour atténuer les tentatives d’exploitation.
Dixième patch zero-day en 2023
Depuis le début de l’année 2023, Apple a corrigé dix failles zero-day exploitées dans la nature pour pirater des iPhone, des Mac ou des iPad.
Plus tôt ce mois-ci, Apple a abordé trois zero-days (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439) exploités pour déployer des logiciels espions de triangulation sur les iPhones via les exploits zéro clic d’iMessage.
Il a également corrigé trois autres zero-days (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai, le premier signalé par Amnesty International Security Lab et les chercheurs du Google Threat Analysis Group et probablement utilisé pour installer logiciel espion mercenaire.
En avril, Apple a corrigé deux autres failles zero-day (CVE-2023-28206 et CVE-2023-28205) utilisées dans le cadre des chaînes d’exploitation d’Android, iOS et Chrome failles zero-day et n-day pour déployer des logiciels espions sur des appareils appartenant vers des cibles à haut risque.
En février, Apple a corrigé un autre WebKit zero-day (CVE-2023-23529) exploité pour obtenir l’exécution de code sur les iPhone, iPad et Mac vulnérables.