
Apple a corrigé et republié des mises à jour de sécurité d’urgence corrigeant une vulnérabilité WebKit zero-day exploitée dans des attaques. Les correctifs initiaux ont dû être retirés lundi en raison de problèmes de navigation sur certains sites Web.
« Apple est au courant d’un problème où les récentes réponses rapides de sécurité pourraient empêcher certains sites Web de s’afficher correctement », a déclaré Apple mardi.
La société a ajouté qu’elle publierait bientôt des versions corrigées des mises à jour boguées et a conseillé aux clients de les supprimer s’ils rencontraient des problèmes lors de la navigation sur le Web après la mise à jour.
Bien qu’Apple n’ait pas expliqué pourquoi certains sites Web ont été empêchés de s’afficher correctement après l’installation des mises à jour iOS 16.5.1 (a), iPadOS 16.5.1 (a) et macOS 13.4.1 (a), cela s’est probablement produit parce que le nouvel utilisateur de Safari L’agent contenant une chaîne « (a) » empêchait les sites Web de le détecter comme une version valide de Safari, ce qui l’amenait à afficher des messages d’erreur « Navigateur non pris en charge ».
Aujourd’hui, Apple a commencé à proposer les mises à jour iOS 16.5.1 (c), iPadOS 16.5.1 (c) et macOS 13.4.1 (c) Security Response qui résolvent les problèmes de navigation sur le Web.
Apple utilise des correctifs RSR pour résoudre les problèmes de sécurité affectant les appareils iPhone, iPad et Mac et pour corriger rapidement les vulnérabilités activement exploitées dans les attaques entre les principales versions du système d’exploitation.

La faille zero-day (CVE-2023-37450) corrigée aujourd’hui affecte le moteur de navigateur WebKit et permet aux attaquants d’obtenir l’exécution de code arbitraire en incitant les cibles à ouvrir des pages Web conçues de manière malveillante.
« Cette réponse rapide de sécurité fournit des correctifs de sécurité importants et est recommandée pour tous les utilisateurs », avertit Apple aux clients sur les appareils où ces correctifs d’urgence sont fournis.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », indique la société dans les avis de sécurité iOS et macOS décrivant la faille CVE-2023-37450 corrigée dans les mises à jour de sécurité d’urgence rééditées aujourd’hui.
Depuis le début de l’année 2023, l’entreprise a corrigé un total de dix failles zero-day exploitées dans la nature pour pirater des iPhones, des Mac ou des iPad :
- trois jours zéro (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois autres zero-days (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux jours zéro (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre WebKit zero-day (CVE-2023-23529) en février