Apple a publié des mises à jour de sécurité d’urgence pour rétroporter les correctifs de deux failles zero-day activement exploitées sur les anciens iPhones et certains modèles d’Apple Watch et d’Apple TV.
« Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été exploité sur des versions d’iOS antérieures à iOS 16.7.1 », a indiqué la société dans des avis de sécurité publiés lundi.
Les deux vulnérabilités, désormais suivies sous les noms CVE-2023-42916 et CVE-2023-42917, ont été découvertes dans le moteur de navigateur WebKit, développé par Apple et utilisé par le navigateur Web Safari de la société sur ses plates-formes (par exemple, macOS, iOS, iPadOS). .
Ils peuvent permettre aux attaquants d’accéder à des données sensibles et d’exécuter du code arbitraire à l’aide de pages Web malveillantes conçues pour exploiter les bogues hors limites et de corruption de mémoire sur les appareils non corrigés.
Aujourd’hui, Apple a résolu le problème des jours zéro dans iOS 16.7.3, iPadOS 16.7.3, tvOS 17.2 et watchOS 10.2 avec une validation et un verrouillage des entrées améliorés.
La société affirme que les bogues sont désormais également corrigés sur la liste d’appareils suivante :
- iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- Apple TV HD et Apple TV 4K (tous les modèles)
- Apple Watch Series 4 et versions ultérieures
Clément Lecigne, chercheur en sécurité du Threat Analysis Group (TAG) de Google, a découvert et signalé les deux vulnérabilités zero-day.
Bien qu’Apple n’ait pas encore fourni de détails sur l’exploitation des vulnérabilités dans les attaques, les chercheurs de Google TAG ont fréquemment identifié et divulgué des informations sur des failles zero-day utilisées dans des attaques de logiciels de surveillance parrainées par l’État ciblant des personnalités de premier plan, notamment des journalistes, des personnalités de l’opposition, et les dissidents.
La CISA a également ordonné aux agences du pouvoir exécutif civil fédéral (FCEB) la semaine dernière, le 4 décembre, de corriger leurs appareils contre ces deux vulnérabilités de sécurité sur la base de preuves d’exploitation active.
Depuis le début de l’année, Apple a corrigé 20 vulnérabilités zero-day exploitées lors d’attaques :
- deux jours zéro (CVE-2023-42916 et CVE-2023-42917) en novembre
- deux zero-day (CVE-2023-42824 et CVE-2023-5217) en octobre
- cinq jours zéro (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) en septembre
- deux zero-days (CVE-2023-37450 et CVE-2023-38606) en juillet
- trois jours zéro (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439) en juin
- trois autres jours zéro (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) en mai
- deux zero-days (CVE-2023-28206 et CVE-2023-28205) en avril
- et un autre WebKit zero-day (CVE-2023-23529) en février