Apple révèle plusieurs nouveaux exploits de sécurité qui ont été corrigés avec les mises à jour iOS 16.3

Apple révèle plusieurs nouveaux exploits de sécurité qui ont été corrigés avec les mises à jour iOS 16.3

Avec la sortie d’iOS 16.3.1 la semaine dernière, Apple a publié plusieurs correctifs de sécurité pour les utilisateurs d’iPhone et d’iPad. Bien que la société ait déjà détaillé ces correctifs sur son site Web, Apple a maintenant mis à jour sa page Web de sécurité pour révéler qu’il existe encore plus d’exploits qui ont été corrigés avec les dernières mises à jour iOS.

Plus de correctifs de sécurité répertoriés avec les mises à jour iOS 16.3

Comme l’a noté Aaron sur TwitterApple a ajouté un nouveau Common Vulnerabilities and Exposures (CVE) pour iOS 16.3.1 et trois nouveaux CVE pour iOS 16.3, qui a été publié en janvier.

Le nouvel exploit répertorié par Apple qui a été corrigé avec iOS 16.3.1 est lié à un « certificat conçu de manière malveillante » qui pourrait conduire à une attaque par déni de service (DoS), lorsque l’attaquant inonde l’appareil ou le réseau avec du trafic pour déclencher un accident. Apple indique que le problème DoS a été résolu grâce à une « validation d’entrée améliorée ».

Fait intéressant, la page Web de contenu de sécurité iOS 16.3 a également été mise à jour avec trois nouveaux exploits qui ont été corrigés avec la mise à jour. L’un des exploits, qui a été trouvé dans le Crash Reporter du système, pourrait permettre aux attaquants de lire des fichiers arbitraires en tant que root. Deux autres exploits liés à la Fondation pourraient permettre aux attaquants d’exécuter du code arbitraire sur l’iPhone ou l’iPad avec des privilèges plus élevés, en contournant le bac à sable de l’application.

Fondation

Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures

Impact : une application peut être en mesure d’exécuter du code arbitraire à partir de son bac à sable ou avec certains privilèges élevés

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2023-23530 : Austin Emmitt, chercheur principal en sécurité chez Trellix ARC

On ne sait pas exactement pourquoi Apple n’a pas mentionné de tels exploits de sécurité auparavant. Mais il convient de garder à l’esprit que ces vulnérabilités ont toutes été corrigées avec iOS 16.3.1, qui est désormais disponible pour tous les utilisateurs. Avec macOS 13.2.1 et iOS 16.3.1, Apple a également corrigé une faille de sécurité liée à WebKit (le moteur de navigateur Web Safari) qui avait été « activement exploitée ».

Vous trouverez plus de détails sur le contenu de sécurité d’iOS et d’autres logiciels Apple sur le site Web d’Apple.


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :

YouTube video