Les utilisateurs d'iPhone, d'iPad et de Mac doivent mettre à jour dès que possible leurs systèmes d'exploitation. Apple vient en effet de publier des mises à jour iOS et iPadOS 16.3.1 ainsi que MacOS 13.2.1 corrigeant plusieurs failles de sécurité dont une zero-day qui serait déjà exploitée. Cette dernière vulnérabilité de confusion de type CVE-2023-23529 découverte par un chercheur anonyme en sécurité affecte Webkit et peut être utilisée par un attaquant pour exécuter du code arbitraire distant sur un système cible via une page web corrompue. Pour rappel, WebKit est une bibliothèque open source permettant aux développeurs d'intégrer facilement un moteur de rendu de pages Web dans leurs logiciels.
Un autre trou de sécurité commun comblé dans les mises à jour iOS/iPadOS 16.3.1 et MacOS 13.2.1 est relatif au noyau des systèmes d'exploitation. « Une application peut être en mesure d'exécuter du code arbitraire avec les privilèges du noyau », a expliqué la firme à la pomme dans ses annonces de montées de version pour ses smartphones et tablettes iOS et ses ordinateurs Mac. « Un problème lié à une utilisation incorrecte de la mémoire dynamique lors du fonctionnement d'un programme a été résolu par une meilleure gestion mémoire ». Identifiée en tant que CVE-2023-23514, cette faille a été trouvée par les chercheurs en cybersécurité Xinru Chi de Pangu Lab et de Ned Williamson de Google Project Zero.
Une dernière vulnérabilité a également été corrigée mais ne concerne cette fois que l'application de script visuel Shortcuts pour MacOS qui pourrait être utilisée pour accéder à des données utilisateurs non protégées. « Un problème de confidentialité a été résolu par une meilleure gestion des fichiers temporaires », a prévenu Apple. Cette faille (CVE-2023-23522) a été remontée au groupe par les chercheurs Wenchao Li et Xiaolong Bai d'Alibaba.
Commentaire