Apple déjoue les attaques de type "zero-day" avec la mise à jour iOS 17.4

Apple a publié des mises à jour de sécurité pour corriger plusieurs failles de sécurité, y compris deux vulnérabilités qui, selon l'entreprise, ont été activement exploitées.

Apple a déployé ce 5 mars 2024 une mise à jour logicielle urgente pour corriger plusieurs failles de sécurité dans sa plateforme phare iOS et a averti qu'il existait des preuves de l'existence d'exploits de type zero-day dans la nature.

Le fabricant de Cupertino a envoyé plusieurs mises à jour de son système d'exploitation mobile - iOS 17.4, iPadOS 17.4 et iOS 16.7.6 - pour couvrir les défauts de sécurité et a confirmé l'exploitation dans la nature avec une note laconique : « Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été exploité ».

Deux vulnérabilités exploitées

On ne sait pas encore comment ces failles sont exploitées, mais Apple a déclaré que les deux vulnérabilités ont été corrigées par une validation améliorée dans iOS 17.4, iPadOS 17.4, iOS 16.7.6 et iPadOS 16.7.6.

• Noyau (CVE-2024-23225) - Un attaquant disposant d'une capacité arbitraire de lecture et d'écriture du noyau peut être en mesure de contourner les protections de la mémoire du noyau. Apple a connaissance d'un rapport indiquant que ce problème pourrait avoir été exploité. Description : Un problème de corruption de mémoire a été corrigé avec une validation améliorée.
• RTKit (CVE-2024-23296) - Un attaquant disposant de capacités arbitraires de lecture et d'écriture dans le noyau peut être en mesure de contourner les protections de la mémoire du noyau. Apple a connaissance d'un rapport indiquant que ce problème pourrait avoir été exploité. Un problème de corruption de la mémoire a été résolu grâce à une meilleure validation.

La société a classé la faille du noyau dans la catégorie « exploitée » sur les anciennes versions d'iOS.

Mises à jour disponibles

La firme de Cupertino a mis sur son support client les mises à jour en téléchargement :

• iOS 16.7.6 et iPadOS 16.7.6 - iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e génération, iPad Pro 9,7 pouces et iPad Pro 12,9 pouces 1re génération
• iOS 17.4 et iPadOS 17.4 - iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures, et iPad mini 5e génération et versions ultérieures.

D'autres failles à venir?

Apple a également corrigé une faille de confidentialité dans la fonction Accessibilité qui pouvait permettre à des applications de lire des informations de localisation sensibles, ainsi qu'un bug de la navigation privée dans Safari qui exposait les onglets verrouillés de l'utilisateur lorsqu'il passait d'un groupe d'onglets à l'autre lorsque la navigation privée verrouillée était activée.

L'entreprise a indiqué que des CVE décrivant d'autres vulnérabilités seraient ajoutés ultérieurement à l'avis, ce qui laisse supposer que de nombreux autres correctifs n'ont pas encore été documentés.

Avec ce dernier développement, Apple a corrigé un total de trois failles de sécurité activement exploitées dans son logiciel depuis le début de l'année. Fin janvier 2024, elle a comblé une faille de confusion de type dans WebKit (CVE-2024-23222) affectant iOS, iPadOS, macOS, tvOS et le navigateur web Safari, qui pouvait entraîner une exécution de code arbitraire.

Cette évolution intervient alors que l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté deux failles à son catalogue de vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à appliquer les mises à jour nécessaires d'ici le 26 mars 2024.

Source : Security Week, Apple