WebKit Zero Day activement exploité pour la plupart des appareils Apple
Qu’est-ce qui vient de se passer? Le groupe d’analyse des menaces de Google a découvert deux vulnérabilités Zero Day activement exploitées dans les systèmes d’exploitation d’Apple. Apple a rapidement publié des mises à jour de sécurité critiques pour iOS 17, iPadOS 17, macOS Sonoma et Safari, résolvant le problème. Si elles ne sont pas corrigées, les vulnérabilités pourraient révéler des informations sensibles et permettre l’exécution de code arbitraire.
Les propriétaires d’iPhone, d’iPad et de Mac doivent mettre à jour leur système d’exploitation dès que possible. Le dernier correctif contient une mise à jour de sécurité critique pour deux vulnérabilités exploitées actuellement par les pirates. Les deux problèmes concernent la façon dont WebKit lit la mémoire. WebKit est le moteur de navigateur qui sous-tend Safari et d’autres applications Apple essentielles.
La première (CVE-2023-42916) est une vulnérabilité de lecture hors limites qui permet de lire des informations depuis la RAM au-delà des limites d’un tableau. La faille pourrait amener WebKit à révéler des données sensibles lors du traitement du contenu Web. Le deuxième problème (CVE-2023-42917) est une vulnérabilité de corruption de mémoire, qu’Apple a résolue avec un verrouillage amélioré. La faille de sécurité pourrait permettre l’exécution de code arbitraire lors de la lecture de contenu Web.
Bien que les ingénieurs Apple aient inclus le correctif dans iOS 17.1.2, iPadOS 17.1.2 et macOS Sonoma 14.1.2, Apple a reçu des rapports selon lesquels des pirates informatiques avaient exploité les mêmes failles dans les versions antérieures à 16.7.1. Google et Apple n’ont pas identifié les acteurs malveillants.
De plus, alors que la mise à jour macOS cible Sonoma, les utilisateurs de Monterey et Ventura doivent installer une mise à jour pour Safari qui résout les problèmes. Les mises à jour mobiles affectent les iPhones remontant au XS, l’iPad Pro 12,9 pouces de 2e génération et plus récent, tous les iPad Pro de 10,5 pouces et 11 pouces, l’iPad Air de 3e génération ou version ultérieure, les iPad mini de 5e et 6e générations, et tous iPad depuis la 6ème génération.
Le groupe d’analyse des menaces de Google a été très occupé ces derniers temps, car il s’agit de la deuxième série de vulnérabilités importantes exposées cette semaine. La société a récemment publié une mise à jour pour Chrome qui corrige plusieurs failles de sécurité.
L’une des vulnérabilités de Chrome (CVE-2023-6350) est un problème de lecture hors limites similaire à celui affectant les systèmes Apple, qui affecte le traitement des fichiers avif. D’autres problèmes résolus par la mise à jour incluent des vulnérabilités de corruption de mémoire d’utilisation après libération dans plusieurs parties de Chrome, un problème de confusion de type de vérification orthographique et un dépassement d’entier. Les utilisateurs de Chrome qui n’ont pas mis à jour vers la version 119.0.6045.200 doivent le faire dès que possible.
Plus tôt ce mois-ci, Google a également décrit un jour zéro découvert, qui a affecté le serveur de messagerie Zimbra Collaboration, impactant ainsi plusieurs organisations gouvernementales internationales. Les risques comprenaient le vol d’e-mails, d’informations d’identification et de jetons d’authentification.