Apple a déployé des correctifs de sécurité pour les iPhone, iPad et Mac afin de combler des failles critiques. Parmi elles, deux vulnérabilités zero-day pourraient déjà être exploitées pour cibler des Mac sous Intel. Mais ces mises à jour concernent également les appareils fonctionnant sous iOS et iPadOS.
Trois documents techniques détaillent ces correctifs : l’un pour iOS 18.1.1 et iPadOS 18.1.1, un autre pour macOS Sequoia 15.1.1, et un troisième pour le navigateur Safari.
Quels sont les appareils concernés ?
Apple précise que la mise à jour pour iOS et iPadOS s’adresse aux iPhone XS et aux modèles ultérieurs, ainsi qu’à divers modèles d’iPad : les iPad Pro 13 pouces et 12,9 pouces (3e génération et versions ultérieures), l’iPad Pro 11 pouces (1re génération et versions ultérieures), l’iPad Air (3e génération et versions ultérieures), l’iPad (7e génération et versions ultérieures), et l’iPad mini (5e génération et versions ultérieures). La mise à jour macOS, quant à elle, est compatible avec tous les ordinateurs prenant en charge macOS Sequoia.
Apple recommande à tous les utilisateurs concernés de mettre à jour leurs appareils sans attendre.
Deux failles critiques identifiées
- CVE-2024-44308 (JavaScriptCore) : avec cette vulnérabilité, un site Web malveillant conçu pour exploiter la faiblesse pourrait permettre à un pirate de prendre le contrôle de votre appareil. Apple indique avoir corrigé le problème grâce à des contrôles renforcés.
- CVE-2024-44309 (WebKit) : cette seconde faille expose les utilisateurs à des attaques de type cross-site scripting, où un attaquant pourrait injecter des scripts malveillants sur un site légitime pour voler des données sensibles ou compromettre l’appareil. Apple a abordé ce problème en améliorant la gestion des cookies.
Des failles déjà exploitées par des pirates ?
Apple a reconnu avoir reçu des rapports indiquant que ces failles auraient été exploitées sur des Mac équipés de processeurs Intel. Cependant, les vulnérabilités touchant un Mac peuvent parfois s’étendre à un iPhone ou un iPad. En publiant simultanément des mises à jour pour ces trois catégories d’appareils, Apple espère sans doute bloquer les pirates.