Apple a rétroporté les correctifs de sécurité publiés en mars sur les anciens iPhones et iPads, corrigeant un jour zéro iOS étiqueté comme exploité dans les attaques.

Dans les avis de sécurité publiés aujourd’hui, Apple a de nouveau déclaré qu’il était au courant d’informations selon lesquelles cette vulnérabilité « pourrait avoir été activement exploitée. »

La faille est un problème de corruption de la mémoire dans le système d’exploitation en temps réel RTKit d’Apple qui permet aux attaquants dotés de capacités arbitraires de lecture et d’écriture du noyau de contourner les protections de la mémoire du noyau. La société n’a pas encore attribué la découverte de cette faille de sécurité à un chercheur en sécurité.

Le 5 mars, la société a corrigé la vulnérabilité zero-day (CVE-2024-23296) pour les nouveaux modèles d’iPhone, d’iPad et de Mac.

Aujourd’hui, Apple a rétroporté les mises à jour de sécurité de mars pour corriger cette faille de sécurité sur iOS 16.7.8, iPadOS 16.7.8 et macOS Ventura 13.6.7 avec une validation améliorée des entrées.

La liste des appareils corrigés aujourd’hui comprend l’iPhone 8, l’iPhone 8 Plus, l’iPhone X, l’iPad 5e génération, l’iPad Pro 9,7 pouces et l’iPad Pro 12,9 pouces 1re génération.

Trois jours zéro exploités dans des attaques corrigées en 2024
Apple n’a pas encore révélé qui a divulgué le jour zéro ou s’il a été découvert en interne, et il n’a fourni aucune information sur la nature des attaques l’exploitant dans la nature.

Même si Apple n’a pas publié de détails concernant l’exploitation de CVE-2024-23296, les jours zéro iOS sont couramment utilisés dans les attaques de logiciels espions parrainées par l’État ciblant des personnes à haut risque, notamment des journalistes, des dissidents et des politiciens de l’opposition.

Bien que ce jour zéro n’ait probablement été utilisé que dans des attaques ciblées, il est fortement conseillé d’installer les mises à jour de sécurité d’aujourd’hui dès que possible pour bloquer les tentatives d’attaque potentielles si vous utilisez un ancien modèle d’iPhone ou d’iPad.

Depuis le début de l’année, Apple a fixé trois jours zéro: deux en mars (CVE-2024-23225 et CVE-2024-23296) et un en janvier (CVE-2024-23222).

En janvier, Apple a également rétroporté des correctifs pour deux jours zéro WebKit (CVE-2023-42916 et CVE-2023-42917), qui ont été corrigés en novembre pour les appareils plus récents.

Avec la mise à jour iOS 17.5 d’aujourd’hui, Apple a également ajouté la prise en charge des alertes de suivi indésirables (Google a lancé la même fonctionnalité sur les appareils Android 6.0+).

Ces alertes avertiront les utilisateurs si des dispositifs de suivi Bluetooth (AirTag, Localiser mon accessoire ou un autre traqueur Bluetooth compatible avec les spécifications de l’industrie) sont utilisés pour suivre leur position.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *