Apple déploie des correctifs urgents pour les failles de type Zero-Day affectant les iPhones, les iPads et les Macs

Le géant de Cupertino a déployé des mises à jour de sécurité pour iOS, iPadOS, macOS, tvOS, watchOS et Safari afin de corriger plusieurs failles de sécurité, dont un bug zero-day activement exploité.

Repérée comme CVE-2023-38606, la faille réside dans le noyau et permet à une application malveillante de modifier potentiellement l'état sensible du noyau. L'entreprise a déclaré qu'elle avait remédié à ce problème en améliorant la gestion de l'état.

Il convient de noter que CVE-2023-38606 est la troisième vulnérabilité de sécurité découverte dans le cadre de l'opération Triangulation, une campagne de cyberespionnage mobile sophistiquée ciblant les appareils iOS depuis 2019 à l'aide d'une chaîne d'exploitation à zéro clic. Les deux autres zero-days, CVE-2023-32434 et CVE-2023-32435, ont été patchés par Apple le mois dernier.

Les chercheurs de Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko et Boris Larin ont été crédités de la découverte et du signalement de la faille.

Les mises à jour sont disponibles pour les appareils et les systèmes d'exploitation suivants

  • iOS 16.6 et iPadOS 16.6 - iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures, et iPad mini 5e génération et versions ultérieures
  • iOS 15.7.8 et iPadOS 15.7.8 - iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération) et iPod touch (7ème génération)
  • macOS Ventura 13.5, macOS Monterey 12.6.8 et macOS Big Sur 11.7.9
  • tvOS 16.6 - Apple TV 4K (tous les modèles) et Apple TV HD, et
  • watchOS 9.6 - Apple Watch Series 4 et versions ultérieures

Avec la dernière série de correctifs, Apple a résolu un total de 11 zero-day ayant un impact sur ses logiciels depuis le début de l'année 2023. Elle intervient également deux semaines après que la société a publié des correctifs d'urgence pour un bogue d'exécution de code à distance dans WebKit qui pourrait conduire à une exécution de code arbitraire (CVE-2023-37450).


Source : The Hacker News