Les utilisateurs d’iPhone et de Mac sont appelés à mettre à jour rapidement leurs terminaux. Apple vient en effet de publier des mises à jour de sécurité d’urgence pour corriger trois vulnérabilités zero day exploitées lors d'attaques. Deux d’entre elles ont été trouvées dans le moteur de rendu des pages web, WebKit (CVE-2023-41993) et dans le framework Security (CVE-2023-41991), donnant aux attaquants la capacité de contourner la validation de signature à l'aide d'applications malveillantes ou d'exécuter du code arbitraire via des pages Web conçues de manière malveillante. La troisième faille a été trouvée dans Kernel Framework, qui fournit des API et prend en charge les extensions du noyau et les pilotes de périphériques. Les attaquants locaux peuvent exploiter cette faille (CVE-2023-41992) pour élever les privilèges.
Dans un avis de sécurité relatif à ces failles, la firme indique ceci : « Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d'iOS antérieures à iOS 16.7 ». La liste des appareils concernés s’avère donc plutôt longue, comprenant l’iPhone 8 et versions ultérieures, l’iPad mini 5e génération et versions ultérieures, tout Mac exécutant MacOS Monterey et versions ultérieures ainsi que l’Apple Watch Series 4 et versions ultérieures. Toutes ont été découvertes par Bill Marczak du Citizen Lab de la Munk School de l'Université de Toronto et Maddie Stone du groupe d'analyse des menaces de Google. Apple a donc publié un correctif pour ces trois brèches disponible dès à présent dans MacOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 et WatchOS 9.6.3/10.0.1 en résolvant un problème de validation de certificat et en améliorant les contrôles.
16 failles zero day corrigées cette année
Si aucun détail supplémentaire n’a été fourni au sujet de l’exploitation de telles failles, les chercheurs en sécurité issus du Citizen Lab et du Google Threat Analysis Group – comme le sont Bill Marczak et Maddie Stone – ont souvent révélé que ce type de vulnérabilité était exploité lors d'attaques à base de logiciels espions ciblant des personnes spécifiques, notamment des journalistes, des opposants politiques, etc. Plus tôt ce mois-ci, des chercheurs du Citizen Lab et Apple ont découvert deux vulnérabilités critiques (CVE-2023-41061 et CVE-2023-41064) menant à des attaques de type zero clic. La firme de Cupertino a rapidement corrigé le tir et enjoint les utilisateurs à mettre à jour iOS rapidement. Au total, ce sont pas moins de 16 failles zero day corrigées cette année.
Commentaire