Apple publie des mises à jour pour ses systèmes d’exploitation. iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1, watchOS 9.3.1 et tvOS 16.3.2 sont ainsi diffusés. Il y a également une mise à jour Safari 16.3.1 pour macOS Big Sur et macOS Monterey.
Pour l’iPhone, l’iPad et l’ordinateur Mac, la mise à jour est à appliquer sans tarder. Elle permet en effet de corriger une vulnérabilité de sécurité qui est utilisée dans des attaques. Une exploitation permet l’exécution de code arbitraire après l’ouverture d’une page web malveillante spécialement conçue.
» Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité « , écrit Apple concernant la vulnérabilité CVE-2023-23529 qui a été signalée par un chercheur anonyme. Une exploitation avant la disponibilité d’un correctif, d’où une vulnérabilité 0-day.
D’autres vulnérabilités sans exploitation active
Cette vulnérabilité 0-day est la première du genre de cette année pour Apple qui n’entre pas dans les détails, si ce n’est que c’est un problème de confusion de type qui touche le moteur de rendu WebKit. Sans être 0-day, l’iPhone, l’iPad et le Mac ont une autre vulnérabilité en commun qui est corrigée.
La vulnérabilité CVE-2023-23514 a été signalée à Apple par des chercheurs en sécurité de Pangu Lab et Google Project Zero. Apple indique qu’une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau. Le problème d’utilisation d’une donnée en mémoire après sa libération (use after free) a été résolu grâce à une meilleure gestion de la mémoire.
Pour macOS Ventura, une autre correction de sécurité – et de confidentialité – est en lien avec l’application Shortcuts (Raccourcis). La vulnérabilité CVE-2023-23522 a été signalée par des chercheurs d’Alibaba Group et le problème a été corrigé via une meilleure gestion des fichiers temporaires.
D’autres corrections et améliorations
Au-delà des corrections de sécurité, iOS 16.3.1 et iPadOS 16.3.1 corrigent un problème d’affichage ou de gel des réglages iCloud lors d’une utilisation du service par des applications, des requêtes Siri inopérantes avec l’application Localiser.
Avec iOS 16.3.1, Apple s’attache en outre à apporter des optimisations pour la détection des accidents sur l‘iPhone 14 et l’iPhone 14 Pro. Elle a pu être critiquée pour une trop grande sensibilité et des faux positifs lors de certaines activités (montagnes russes, ski, iPhone qui tombe…).
À noter pour l’application Google Photos sur iPhone que des plaintes font état d’un plantage de cette dernière depuis l’installation de la mise à jour iOS 16.3.1. Le cas échéant, l’arrivée d’une mise à jour de Google Photos dans l’App Store est à surveiller.