“Apple neutralise les vulnérabilités exploitées : Une mise à jour complète”

Reading Time: ( Word Count: )

July 25, 2023
Nextdoorsec-course

Apple a mis en place des améliorations de sécurité pour neutraliser les vulnérabilités de type “zero-day” exploitées dans les cyberattaques contre les iPhones, les Macs et les iPads.

Suite à la découverte d’une faille dans WebKit identifiée comme CVE-2023-37450, l’entreprise a lancé ce mois-ci une série de mises à jour Rapid Security Response (RSR). “Apple a reçu des rapports indiquant une exploitation active potentielle de ce problème”, a déclaré la société dans un avis public.

Aujourd’hui, Apple a corrigé un autre jour zéro, une nouvelle faille du noyau identifiée comme CVE-2023-38606, qui avait été exploitée pour cibler des appareils fonctionnant avec d’anciennes versions d’iOS. “Nous avons reçu des rapports suggérant que les versions d’iOS antérieures à iOS 15.7.1 pourraient avoir été activement exploitées en raison de ce problème”, a déclaré l’entreprise.

L’exploitation sur des dispositifs non corrigés permettrait aux attaquants d’altérer des états sensibles du noyau. Pour remédier à ces deux vulnérabilités, Apple a intégré une gestion de l’état et des contrôles améliorés.

Apple neutralise les vulnérabilités exploitées

Boris Larin, chercheur principal en sécurité de Kaspersky GReAT, a signalé que la CVE-2023-38606 faisait partie d’une chaîne d’exploitation par clic pour implanter le logiciel espion Triangulation sur les iPhones via des exploits iMessage.

Lire aussi : “Risques invisibles : Comment la clé volée de Microsoft pourrait débloquer plus de choses que prévu”

En outre, la société a appliqué des correctifs de sécurité rétroactifs pour un jour zéro (CVE-2023-32409) adressé en mai aux appareils utilisant tvOS 16.6 et watchOS 9.6.

Apple a contré les trois jours zéro dans macOS Ventura 13.4, iOS et iPadOS 16.5, tvOS 16.5, watchOS 9.5 et Safari 16.5 en améliorant la gestion de la mémoire, la validation des entrées et les vérifications des limites.

Une longue liste d’appareils a été affectée par les deux failles corrigées aujourd’hui, y compris divers modèles d’iPhone et d’iPad et des Macs fonctionnant sous macOS Big Sur, Monterey et Ventura.

Depuis le début de l’année, Apple a remédié à 11 failles zero-day que des attaquants ont exploitées pour cibler des appareils iOS, macOS et iPadOS.

Au début du mois, Apple a publié des mises à jour RSR (Rapid Security Response) non programmées afin de neutraliser un bogue (CVE-2023-37450) affectant les iPhones, Macs et iPads entièrement corrigés. Par la suite, l’entreprise a reconnu que les mises à jour RSR interrompaient la navigation sur certains sites web et a publié deux jours plus tard des versions corrigées des correctifs défectueux.

Avant cela, Apple s’est attaqué à plusieurs autres “zero-days”, notamment :

  • Trois en juin (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439)
  • Trois autres en mai (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373).
  • Deux autres en avril (CVE-2023-28206 et CVE-2023-28205)
  • Et un jour zéro pour WebKit (CVE-2023-23529) en février
Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *