Si la protection en cas de vol de l’appareil est la principale nouveauté d’iOS 17.3 pour l’iPhone, cette mise à jour propose également une quinzaine de correctifs pour des vulnérabilités de sécurité. L’une d’elles est exploitée dans des attaques.
Référencée CVE-2024-23222, cette vulnérabilité 0-day (exploitation active avant la disponibilité d’un patch) affecte le moteur de rendu WebKit. » Le traitement d’un contenu web malveillant spécialement conçu peut entraîner une exécution de code arbitraire « , écrit Apple.
Il est fait mention d’une faille de confusion de type. WebKit oblige, l’action correctrice à entreprendre ne concerne pas seulement l’iPhone, mais aussi l’iPad, l’ordinateur Mac et le navigateur Safari.
Première 0-day de 2024 pour Apple
À souligner qu’Apple propose aussi des correctifs à destination d’appareils qui ne sont plus éligibles aux versions les plus récentes de ses systèmes d’exploitation.
Au global, la vulnérabilité 0-day est corrigée dans le cadre de la publication d’iOS 17.3, iOS 16.7.5, iPadOS 17.3, iPadOS 16.7.5, macOS Sonoma 14.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3 et Safari 17.3.
Pour le moment, il y a peu de détails au sujet de la vulnérabilité CVE-2024-23222. Sa découverte n’a pas été attribuée à des chercheurs en sécurité tiers. L’année dernière, Apple avait corrigé une vingtaine de vulnérabilités 0-day.