Apple a mis en place des améliorations de sécurité pour neutraliser les vulnérabilités de type « zero-day » exploitées dans les cyberattaques contre les iPhones, les Macs et les iPads.

Suite à la découverte d’une faille dans WebKit identifiée comme CVE-2023-37450, l’entreprise a lancé ce mois-ci une série de mises à jour Rapid Security Response (RSR). « Apple a reçu des rapports indiquant une exploitation active potentielle de ce problème », a déclaré la société dans un avis public.

Aujourd’hui, Apple a corrigé un autre jour zéro, une nouvelle faille du noyau identifiée comme CVE-2023-38606, qui avait été exploitée pour cibler des appareils fonctionnant avec d’anciennes versions d’iOS. « Nous avons reçu des rapports suggérant que les versions d’iOS antérieures à iOS 15.7.1 pourraient avoir été activement exploitées en raison de ce problème », a déclaré l’entreprise.

L’exploitation sur des dispositifs non corrigés permettrait aux attaquants d’altérer des états sensibles du noyau. Pour remédier à ces deux vulnérabilités, Apple a intégré une gestion de l’état et des contrôles améliorés.

Boris Larin, chercheur principal en sécurité de Kaspersky GReAT, a signalé que la CVE-2023-38606 faisait partie d’une chaîne d’exploitation par clic pour implanter le logiciel espion Triangulation sur les iPhones via des exploits iMessage.

Lire aussi : « Risques invisibles : Comment la clé volée de Microsoft pourrait débloquer plus de choses que prévu »

En outre, la société a appliqué des correctifs de sécurité rétroactifs pour un jour zéro (CVE-2023-32409) adressé en mai aux appareils utilisant tvOS 16.6 et watchOS 9.6.

Apple a contré les trois jours zéro dans macOS Ventura 13.4, iOS et iPadOS 16.5, tvOS 16.5, watchOS 9.5 et Safari 16.5 en améliorant la gestion de la mémoire, la validation des entrées et les vérifications des limites.

Une longue liste d’appareils a été affectée par les deux failles corrigées aujourd’hui, y compris divers modèles d’iPhone et d’iPad et des Macs fonctionnant sous macOS Big Sur, Monterey et Ventura.

Depuis le début de l’année, Apple a remédié à 11 failles zero-day que des attaquants ont exploitées pour cibler des appareils iOS, macOS et iPadOS.

Au début du mois, Apple a publié des mises à jour RSR (Rapid Security Response) non programmées afin de neutraliser un bogue (CVE-2023-37450) affectant les iPhones, Macs et iPads entièrement corrigés. Par la suite, l’entreprise a reconnu que les mises à jour RSR interrompaient la navigation sur certains sites web et a publié deux jours plus tard des versions corrigées des correctifs défectueux.

Avant cela, Apple s’est attaqué à plusieurs autres « zero-days », notamment :

• Trois en juin (CVE-2023-32434, CVE-2023-32435 et CVE-2023-32439)
• Trois autres en mai (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373).
• Deux autres en avril (CVE-2023-28206 et CVE-2023-28205)
• Et un jour zéro pour WebKit (CVE-2023-23529) en février