Les mises à jour sont également disponibles pour les systèmes et appareils PC non x86.
Paume faciale : Les chercheurs de Google ont découvert quelques vulnérabilités zero-day dans les composants WebKit d'Apple. Les failles ont déjà été corrigées, mais Cupertino exhorte fortement les utilisateurs à mettre à jour leurs systèmes dès que possible car il pense que les pirates exploitent les failles de sécurité dans la nature.
Apple a découvert deux vulnérabilités dangereuses dans les composants JavaScriptCore et WebKit de ses systèmes d'exploitation. Les problèmes de sécurité affectent uniquement les systèmes basés sur Intel. Toutefois, les mises à jour de sécurité s'appliquent à toutes les plateformes informatiques Apple.
La première faille (CVE-2024-44308) impacte le framework JavaScriptCore qui fournit le moteur JavaScript inclus dans WebKit. Un contenu Web malveillant pourrait conduire à l’exécution de code arbitraire. Apple a noté que des acteurs malveillants inconnus pourraient avoir exploité la faille sur les systèmes Mac basés sur Intel.
La deuxième vulnérabilité (CVE-2024-44309) affecte le moteur de mise en page WebKit utilisé par Safari et quelques autres navigateurs Web. La faille pourrait permettre aux pirates de développer une attaque de script intersite ciblant les systèmes Intel Mac.
Les mauvais acteurs cherchant à pirater les appareils Apple ont constamment ciblé WebKit comme sa plus grande faiblesse. Une fois le navigateur Web compromis, les pirates peuvent pousser leur attaque plus loin dans le système à diverses fins, notamment militariser les iPhones, voler les données des utilisateurs et écouter les communications entre cibles sensibles.
Clément Lecigne et Benoît Sevens du Threat Analysis Group de Google, une équipe de sécurité créée pour contrer les activités de piratage soutenues par le gouvernement, ont découvert les failles. Les appareils Apple sont souvent l'une des principales cibles des plates-formes commerciales de logiciels espions, connues pour faire du business grâce à la recherche et à l'exploitation de vulnérabilités inconnues pour leurs clients.
Apple n'a pas fourni de détails spécifiques concernant les pirates informatiques tentant d'exploiter les failles. Les développeurs de Cupertino ont corrigé les deux problèmes Zero Day en améliorant les contrôles JS dans JavaScriptCore et la gestion des états dans WebKit.
Les correctifs pour JavaScriptCore et WebKit sont disponibles dans les dernières versions de macOS Sequoia (15.1.1), iOS (18.1.1) et iPadOS (18.1.1). Les correctifs ont également été déployés sur iOS 17.7.2 et iPadOS 17.7.2. Des mises à jour de sécurité supplémentaires sont disponibles pour le navigateur Safari sur macOS Ventura, macOS Sonoma et le casque de réalité mixte Vision Pro (visionOS 2.1.1).
