Apple a publié une nouvelle série de correctifs de sécurité pour corriger trois failles zero-day activement exploitées affectant iOS, iPadOS, macOS, watchOS et Safari, portant à 16 le nombre total de bogues zero-day découverts dans son logiciel cette année.
La liste des vulnérabilités de sécurité est la suivante –
- CVE-2023-41991 – Un problème de validation de certificat dans le framework de sécurité qui pourrait permettre à une application malveillante de contourner la validation de signature.
- CVE-2023-41992 – Une faille de sécurité dans le Kernel qui pourrait permettre à un attaquant local d’élever ses privilèges.
- CVE-2023-41993 – Une faille WebKit qui pourrait entraîner l’exécution de code arbitraire lors du traitement de contenu Web spécialement conçu.
Apple n’a pas fourni de détails supplémentaires, à l’exception de la reconnaissance du fait que « le problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7 ».
Les mises à jour sont disponibles pour les appareils et systèmes d’exploitation suivants –
- iOS 16.7 et iPadOS 16.7 – iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
- iOS 17.0.1 et iPadOS 17.0.1 – iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures, iPad mini 5e génération et plus tard
- macOS Monterey 12.7 et macOS Ventura 13.6
- montreOS 9.6.3 et montreOS 10.0.1 – Apple Watch Series 4 et versions ultérieures
- Safari 16.6.1 – macOS Big Sur et macOS Monterey
Bill Marczak, du Citizen Lab de la Munk School de l’Université de Toronto, et Maddie Stone, du Threat Analysis Group (TAG) de Google, sont crédités d’avoir découvert et signalé ces failles. membres de la société qui courent un risque accru de cybermenaces.
La divulgation intervient deux semaines après qu’Apple a résolu deux autres vulnérabilités Zero Day activement exploitées (CVE-2023-41061 et CVE-2023-41064) qui ont été enchaînées dans le cadre d’une chaîne d’exploitation iMessage sans clic nommée BLASPASS pour déployer un logiciel espion mercenaire connu sous le nom de BLASTPASS. comme Pégase.
Cela a été suivi par des correctifs fournis par Google et Mozilla pour contenir une faille de sécurité (CVE-2023-4863) qui pourrait entraîner l’exécution de code arbitraire lors du traitement d’une image spécialement conçue.
Il existe des preuves suggérant que CVE-2023-41064, une vulnérabilité de dépassement de tampon dans le cadre d’analyse d’images Image I/O d’Apple, et CVE-2023-4863, un dépassement de tampon de tas dans la bibliothèque d’images WebP (libwebp), pourraient faire référence à le même bug, selon Ben Hawkes, fondateur d’Isosceles et ancien chercheur de Google Project Zero.
Rezilion, dans une analyse publiée jeudi, a révélé que la bibliothèque libwebp est utilisée dans plusieurs systèmes d’exploitation, progiciels, applications Linux et images de conteneurs, soulignant que la portée de la vulnérabilité est beaucoup plus large qu’on ne le pensait initialement.
« La bonne nouvelle est que le bug semble être correctement corrigé dans la libwebp en amont, et ce correctif est en train d’être diffusé partout où il devrait aller », a déclaré Hawkes. « La mauvaise nouvelle est que libwebp est utilisé dans de nombreux endroits, et cela pourrait prendre un certain temps avant que le patch atteigne sa saturation. »
