Apple a publié des mises à jour de sécurité d’urgence pour corriger deux nouvelles vulnérabilités Zero Day exploitées dans des attaques ciblant les utilisateurs d’iPhone et de Mac, pour un total de 13 vulnérabilités Zero Day exploitées corrigées depuis le début de l’année.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a révélé la société dans des avis de sécurité décrivant les failles de sécurité.
Les bogues ont été trouvés dans les frameworks Image I/O et Wallet et sont suivis comme CVE-2023-41064 (découvert par les chercheurs en sécurité du Citizen Lab) et CVE-2023-41061 (découvert par Apple).
Citizen Lab a également révélé aujourd’hui que les bogues CVE-2023-41064 et CVE-2023-41061 ont été activement exploités dans le cadre d’une chaîne d’exploitation iMessage sans clic nommée BLASTPASS qui a été utilisée pour déployer le logiciel espion mercenaire Pegasus de NSO Group sur entièrement- iPhones corrigés (exécutant iOS (16.6) via des pièces jointes PassKit contenant des images malveillantes.
CVE-2023-41064 est une faiblesse de dépassement de tampon qui se déclenche lors du traitement d’images conçues de manière malveillante et peut conduire à l’exécution de code arbitraire sur des appareils non corrigés.
CVE-2023-41061 est un problème de validation qui peut être exploité à l’aide d’une pièce jointe malveillante pour également obtenir l’exécution de code arbitraire sur les appareils ciblés.
Apple a corrigé les jours zéro dans macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 et watchOS 9.6.2 avec une logique et une gestion de la mémoire améliorées.
La liste des appareils concernés est assez longue, étant donné que les deux bugs de sécurité affectent à la fois les modèles plus anciens et plus récents, et comprend :
- iPhone 8 et versions ultérieures
- iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- Mac exécutant macOS Ventura
- Apple Watch Series 4 et versions ultérieures
13 zero-day exploités corrigés cette année
Depuis le début de l’année, Apple a corrigé 13 bogues zero-day exploités lors d’attaques contre des appareils exécutant iOS, macOS, iPadOS et watchOS.
Il y a deux mois, en juillet, Apple a lancé des mises à jour RSR (Rapid Security Response) hors bande pour corriger une vulnérabilité (CVE-2023-37450) affectant les iPhones, Mac et iPads entièrement corrigés.
Il a ensuite confirmé que les mises à jour RSR avaient partiellement interrompu la navigation Web sur les appareils corrigés et publié des versions nouvelles et corrigées des correctifs bogués deux jours plus tard.
Avant aujourd’hui, Apple avait également abordé :
- deux zero-days (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois autres jours zéro (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux zero-days (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre WebKit zero-day (CVE-2023-23529) en février