Apple a récemment publié une mise à jour mineure pour ses appareils iPhone, iPad et Mac. Il s’agit des versions iOS 17.1.2, iPadOS 17.1.2 et macOS 14.1.2, qui contiennent des correctifs pour deux failles de sécurité activement exploitées par des pirates informatiques. Ces failles concernent WebKit (WebKit Bugzilla : 265041 and WebKit Bugzilla : 265067), le moteur qui alimente le navigateur Safari d’Apple, ainsi que les applications web dans ses systèmes d’exploitation.
La première faille, identifiée sous le numéro CVE-2023-42916, est liée au traitement du contenu web. Elle peut conduire à la divulgation d’informations sensibles, comme des mots de passe ou des données personnelles. Apple a corrigé ce problème en améliorant la validation des entrées. La seconde faille, portant le numéro CVE-2023-42917, affecte également le traitement du contenu web, mais dans ce cas, elle peut permettre l’exécution de code arbitraire sur l’appareil de la victime. Il s’agit d’une vulnérabilité de corruption de mémoire, qui a été résolue avec un verrouillage plus sécurisé qu’avant.
Apple a reconnu que ces failles ont pu être exploitées activement par des attaquants, qui ont pu compromettre la sécurité et la confidentialité des utilisateurs. La société a crédité le chercheur en sécurité Clément Lecigne, du groupe d’analyse des menaces de Google, pour avoir découvert et signalé ces failles. Les détails techniques sur ces failles n’ont pas été rendus publics, probablement pour éviter que d’autres pirates ne les exploitent avant que les utilisateurs n’aient installé les mises à jour.
Les correctifs pour ces failles sont inclus dans les mises à jour iOS 17.1.2, iPadOS 17.1.2 et macOS 14.1.2, qui sont disponibles pour les modèles suivants : iPhone XS et ultérieurs, iPad Pro 12,9 pouces 2iem génération et ultérieurs, iPad Pro 10,5 pouces, iPad Pro 11 pouces première génération et ultérieurs, iPad Air 3iem génération et ultérieurs, iPad 6e génération et ultérieurs, et iPad mini 5e génération et ultérieurs. Les utilisateurs de macOS 12 Monterey et macOS 13 Ventura peuvent également bénéficier des correctifs en installant la version 17.1.2 du navigateur Safari.
Si vous n’avez pas encore reçu de notification pour installer la mise à jour sur votre appareil, vous pouvez la vérifier manuellement en vous rendant dans les Paramètres > Général > Mise à jour logicielle, pour télécharger et installer la dernière version. Il est fortement recommandé de mettre à jour vos appareils le plus rapidement possible, afin de vous protéger contre ces failles de sécurité critiques.
Ces failles ne sont pas les premières à affecter les systèmes d’exploitation d’Apple cette année. En effet, le nombre d’attaques visant les appareils Apple est en hausse, et les pirates utilisent des méthodes de plus en plus sophistiquées, comme l’opération Clearview, qui visait à infecter les navigateurs macOS avec de fausses mises à jour pour y installer un logiciel malveillant nommé Atomic Stealer.
Apple travaille actuellement sur les versions iOS 17.2, iPadOS 17.2 et macOS 14.2, qui devraient apporter de nouvelles fonctionnalités et améliorations, comme l’application Journal pour les iPhones. Ces mises à jour sont actuellement en phase de test bêta, et devraient être disponibles pour tous les utilisateurs plus tard ce mois-ci.
Source : Support Apple