iOS 16.5 comprend une variété de correctifs de sécurité importants. Il y a 39 vulnérabilités corrigées dans la dernière mise à jour iOS et Apple note que trois d’entre elles ont été signalées comme activement exploitées.
Apple a partagé les derniers correctifs de vulnérabilité sur sa page de mises à jour de sécurité. Alors qu’iOS en avait le plus à 39, macOS avec Safari 16.5, watchOS 9.5 et tvOS 16.5 incluent également des mises à jour de sécurité importantes.
Ainsi, même s’il n’y a pas beaucoup de nouvelles fonctionnalités avec les dernières mises à jour, elles sont importantes à installer.
Pour iOS, les mises à jour de sécurité incluent des correctifs pour tout, du noyau à CoreServices, Photos à Sandbox, Siri et Raccourcis, et Paramètres système à Météo, WiFi et WebKit.
Voici les trois correctifs de sécurité WebKit qui corrigent ce que l’on pense être des failles activement exploitées :
Remarque : les correctifs pour les deuxième et troisième failles ont été mis à disposition pour la première fois avec Rapid Security Response avec iOS 16.4.1(a) le 1er mai.
Kit Web
Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
Conséquence : un attaquant distant peut être en mesure de sortir du bac à sable du contenu Web. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
Description : le problème a été résolu par une amélioration des vérifications des limites.
WebKit Bugzilla : 255350
CVE-2023-32409 : Clément Lecigne du groupe d’analyse des menaces de Google et Donncha Ó Cearbhaill du laboratoire de sécurité d’Amnesty International
Kit Web
Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
Impact : le traitement du contenu Web peut divulguer des informations sensibles. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
Description : une lecture hors limites a été résolue par une meilleure validation des entrées.
WebKit Bugzilla : 254930
CVE-2023-28204 : un chercheur anonyme
Ce problème a été résolu pour la première fois dans Rapid Security Response iOS 16.4.1 (a) et iPadOS 16.4.1 (a).
Kit Web
Disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
Conséquence : le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.
Description : un problème d’utilisation après libération a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 254840
CVE-2023-32373 : un chercheur anonyme
Ce problème a été résolu pour la première fois dans Rapid Security Response iOS 16.4.1 (a) et iPadOS 16.4.1 (a).
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
