Apple a publié des mises à jour de sécurité d’urgence pour corriger trois nouvelles vulnérabilités Zero Day exploitées lors d’attaques ciblant les utilisateurs d’iPhone et de Mac, pour un total de 16 Zero Day corrigés cette année.
Deux bogues ont été trouvés dans le moteur du navigateur WebKit (CVE-2023-41993) et dans le cadre de sécurité (CVE-2023-41991), permettant aux attaquants de contourner la validation de signature à l’aide d’applications malveillantes ou d’exécuter du code arbitraire via des pages Web conçues de manière malveillante.
Le troisième a été trouvé dans Kernel Framework, qui fournit des API et prend en charge les extensions du noyau et les pilotes de périphériques résidents du noyau. Les attaquants locaux peuvent exploiter cette faille (CVE-2023-41992) pour élever les privilèges.
Apple a corrigé les trois bogues zero-day dans macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 et watchOS 9.6.3/10.0.1 en résolvant un problème de validation de certificat et en améliorant les contrôles.
« Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre des versions d’iOS antérieures à iOS 16.7 », a révélé la société dans des avis de sécurité décrivant les failles de sécurité.
La liste des appareils concernés comprend des modèles d’appareils plus anciens et plus récents, et comprend :
- iPhone 8 et versions ultérieures
- iPad mini 5e génération et versions ultérieures
- Mac exécutant macOS Monterey et versions ultérieures
- Apple Watch Series 4 et versions ultérieures
Les trois jours zéro ont été trouvés et signalés par Bill Marczak du Citizen Lab de la Munk School de l’Université de Toronto et Maddie Stone du groupe d’analyse des menaces de Google.
Bien qu’Apple n’ait pas encore fourni de détails supplémentaires sur l’exploitation des failles dans la nature, les chercheurs en sécurité du Citizen Lab et du Google Threat Analysis Group ont souvent révélé des bogues zero-day exploités lors d’attaques ciblées de logiciels espions ciblant des personnes à haut risque, notamment des journalistes, des politiciens de l’opposition, et les dissidents.
Citizen Lab a divulgué deux autres zéros (CVE-2023-41061 et CVE-2023-41064), également corrigés par Apple dans des mises à jour de sécurité d’urgence plus tôt ce mois-ci et exploités dans le cadre d’une chaîne d’exploitation sans clic (appelée BLASTPASS) pour infecter. iPhones entièrement corrigés avec le logiciel espion commercial Pegasus de NSO Group.
Depuis le début de l’année, Apple a également patché :
- deux zero-days (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois autres jours zéro (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux zero-days (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre WebKit zero-day (CVE-2023-23529) en février