Apple livre des mises à jour iOS 17.1.2, iPadOS 17.1.2 et macOS Sonoma 14.1.2. Recommandées pour tous les utilisateurs, elles apportent des correctifs de sécurité dits importants. C’est ainsi le comblement de deux vulnérabilités qui affectent le moteur de rendu WebKit.
CVE-2023-42916 et CVE-2023-42917 permettent à des attaquants d’obtenir des informations sensibles et d’exécuter du code arbitraire lors du traitement d’un contenu web spécialement conçu. Un vecteur peut être une application ou le navigateur Safari.
Apple souligne que les deux failles font l’objet d’une exploitation active dans des attaques. Elles portent à vingt le nombre de vulnérabilités de sécurité 0-day corrigées par Apple pour cette année 2023.
Des trouvailles du TAG de Google
À noter que l’exploitation signalée concerne les versions d’iOS antérieures à la version 16.7.1. Il n’est pas clair à ce stade si l’exploitation peut être répliquée sur iOS 17, avec des mécanismes de protection supplémentaires susceptibles d’entrer en jeu.
La découverte et le signalement des vulnérabilités sont attribués à un chercheur en sécurité du Threat Analysis Group de Google. Cela laisse supposer une exploitation dans des attaques ciblées, potentiellement soutenues par des gouvernements et avec un spyware commercial.
Le Threat Anlysis Group vient tout juste d’être à l’origine du signalement d’une exploitation active dans des attaques concernant une vulnérabilité CVE-2023-6345. Elle touche Skia, une bibliothèque graphique et multiplateforme d’images vectorielles 2D, et bénéficie d’une correction dans une mise à jour de Google Chrome.