Peu de temps après avoir publié aujourd’hui un nouveau logiciel pour iPhone et Mac avec « des corrections de bugs importantes et des mises à jour de sécurité », Apple a détaillé les détails des failles de sécurité qui ont été corrigées. Notamment, Apple a partagé qu’il a vu des rapports faisant état d’exploitation à l’état sauvage.
Apple a partagé sur sa page de mises à jour de sécurité que deux failles (les mêmes) ont été corrigées pour iOS et macOS.
Le premier était une faille IOSurfaceAccelerator qui permettait aux applications «d’exécuter du code arbitraire avec les privilèges du noyau». La seconde était une faille WebKit qui pouvait voir le traitement de code malveillant conduire également à l’exécution de code arbitraire.
Pour les deux défauts, Apple dit qu’il est « au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », alors installez ces mises à jour dès que possible pour être du bon côté.
Voici les détails complets :
IOSurfaceAccelerator
Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges de noyau. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2023-28206 : Clément Lecigne du groupe d’analyse des menaces de Google et Donncha Ó Cearbhaill du laboratoire de sécurité d’Amnesty International
Kit Web
Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
Conséquence : le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
Description : un problème d’utilisation après la libération a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 254797
CVE-2023-28205 : Clément Lecigne du groupe d’analyse des menaces de Google et Donncha Ó Cearbhaill du laboratoire de sécurité d’Amnesty International
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
