Language
Apple corrige des bugs de sécurité exploités dans le noyau et Webkit • The Register
MaisonMaison > Nouvelles > Apple corrige des bugs de sécurité exploités dans le noyau et Webkit • The Register
DERNIÈRES NOUVELLES

Apple corrige des bugs de sécurité exploités dans le noyau et Webkit • The Register

Jul 15, 2023

Apple a publié des correctifs pour plusieurs failles de sécurité qui affectent ses iPhones, iPads, ordinateurs macOS, ainsi que Apple TV et montres, et a averti que certains de ces bugs ont déjà été exploités.

Voici une liste rapide de toutes les mises à jour de sécurité publiées lundi après-midi :

Mardi, l'Agence de cybersécurité et de sécurité des infrastructures (CISA) du gouvernement américain a également tiré la sonnette d'alarme, avertissant qu'"un attaquant pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d'un appareil concerné". La CISA a exhorté les utilisateurs et les administrateurs à appliquer les mises à jour logicielles et à vérifier que les systèmes de correctifs automatiques fonctionnent correctement. Nous partageons cette opinion.

L'un des bugs, CVE-2023-32409, dans le moteur de navigateur WebKit d'Apple affecte l'iPhone 6s (tous les modèles), l'iPhone 7 (tous les modèles), l'iPhone SE (1ère génération), l'iPad Air 2, l'iPad mini (4e génération) et iPod touch (7e génération). Celui-ci a été découvert par Clément Lecigne du Threat Analysis Group (TAG) de Google et Donncha Ó Cearbhaill du Security Lab d'Amnesty International.

"Un attaquant distant peut être capable de sortir du bac à sable du contenu Web", selon l'avis d'iGiant. "Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité."

Apple affirme avoir résolu le problème en améliorant les contrôles de limites. Et bien que le géant de la technologie ne fournisse jamais de détails sur la façon dont la vulnérabilité a été exploitée, ni par qui, les chasseurs de bogues qui ont repéré le logiciel malveillant semblent indiquer qu'il est utilisé pour déployer des logiciels espions sur les appareils des victimes.

TAG suit plus de 30 fabricants de logiciels espions commerciaux qui vendent des exploits et des logiciels de surveillance. Les journalistes, les militants et les dissidents politiques ont tendance à être la cible de logiciels espions, sur lesquels Amnesty s'intéresse vivement.

Dans ce même lot de mises à jour de sécurité, Apple a annoncé avoir corrigé un bug au niveau du noyau, CVE-2023-38606, pour : iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1ère génération), iPad Air 2. , iPad mini (4e génération) et iPod touch (7e génération). Cette faille a probablement été exploitée à l’état sauvage, semble-t-il.

"Une application peut être capable de modifier l'état sensible du noyau", a prévenu le fabricant de l'iPhone. "Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d'iOS publiées avant iOS 15.7.1."

Apple attribue aux chercheurs de Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko et Boris Larin la découverte de ce bug, qui ressemble à la vulnérabilité du noyau utilisée pour infecter les iPhones avec le logiciel espion TriangleDB, également découverte par l'équipe susmentionnée.

Ce dernier bug du noyau, CVE-2023-38606, affecte également plusieurs autres produits Apple, notamment les Mac exécutant macOS Ventura, Monterey et Big Sur, l'Apple Watch Series 4 et versions ultérieures, l'Apple TV 4K (tous les modèles) et l'Apple TV. HAUTE DÉFINITION.

Une autre vulnérabilité dans WebKit, dans tvOS 16, watchOS 9.6, macOS Ventura, iOS 16 et iPadOS 16, suivie comme CVE-2023-37450, pourrait également avoir été exploitée avant qu'Apple ne publie les correctifs, nous dit-on. La faille, signalée par un chercheur anonyme, se produit lors du traitement du contenu Web, ce qui peut conduire à l'exécution de code arbitraire. Des correctifs sont disponibles pour tous les modèles Apple TV 4K, les boîtiers Apple TV HD, Apple Watch Series 4 et versions ultérieures et les Mac exécutant Ventura.

Auparavant, Apple avait résolu ce même problème sur certains iPhones et iPads via une « réponse de sécurité rapide » dans iOS 16.5.1 (c) et iPadOS 16.5.1 (c). Il s'agit du nouveau type de correctifs qu'Apple a commencé à déployer en mai, avec des résultats mitigés.

Les correctifs sont censés être téléchargés et appliqués automatiquement pour protéger immédiatement les appareils contre toute exploitation, évitant ainsi le cycle habituel de mise à jour du système que les utilisateurs peuvent retarder ou manquer, et ainsi laisser leur kit vulnérable. ®

Envoyez-nous des nouvelles

1313Obtenir notre13