S'il y a bien un acteur IT qui n'est pas avare en correctifs, c'est bien Apple. La firme à la pomme vient en effet de lancer en urgence des patchs pour des vulnérabilités zero day dans ses iPhone, iPad et Mac. Cela porte à 20 le nombre de failles de ce type corrigées par la firme depuis le début de l'année. « Apple a pris connaissance d'un rapport selon lequel ce problème pourrait avoir été exploité avec des versions d'iOS antérieures à iOS 16.7.1 », indique l'entreprise dans un bulletin de sécurité. Les mises à jour vers iOS 17.1.2 et iPadOS 17.1.2 doivent être effectuées dès que possible et sont accessibles à tous les utilisateurs.
Dans le détail, deux failles relatives au moteur du navigateur WebKit sont corrigées : la CVE-2023-42916 et la CVE-2023-42917 découvertes par Clément Lecigne de l'entité TAG (threat analysis group) de Google. La première ouvre la voie à de la lecture hors limite (out-of-bounds) corrigée grâce à une meilleure validation des entrées, tandis que la seconde est de type corruption de mémoire résolue avec un verrouillage amélioré.
De nombreux terminaux affectés
Les terminaux concernés par les mises à jour iOS 17.1.2 et iPadOS 17.1.2 sont les suivants : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures, et iPad mini 5e génération et versions ultérieures. Ces deux vulnérabilités se retrouvent également dans d'autres produits d'Apple qu'il faut aussi mettre à jour, à savoir MacOS Sonoma (14.1.2) et Safari (17.1.2).
Commentaire