Apple a publié des mises à jour pour iOS et iPadOS, macOS, watchOS et Safari pour réparer 3 vulnérabilités zero-day (CVE-2023-41992, CVE-2023-41991, CVE-2023-41993) exploitées « contre versions d’iOS antérieures à iOS 16.7. »
Expense Marczak du Citizen Laboratory de la Munk School de l’Université de Toronto et Maddie Stone du groupe d’analyse des menaces de Google ont en fait été crédités de les avoir signalés, de sorte que les défauts ont en fait très probablement utilisé pour déployer des logiciels espions.
Les zero-days couverts (CVE-2023-41992, CVE-2023-41991, CVE-2023-41993)
CVE-2023- 41992, dans le cadre du noyau, permet à un attaquant local d’augmenter les avantages.
CVE-2023-41991, dans le cadre de sécurité, peut être utilisé par une application destructrice pour contourner la reconnaissance de signature.
CVE-2023-41993, dans le moteur du navigateur Internet WebKit, peut être déclenché par le traitement de contenus Web spécialement conçus et conduire à l’exécution de code arbitraire.
Les versions iOS/iPad 17.0.1 et 16.7 publiées. les variantes ont des correctifs pour les 3 ; la mise à jour Safari simplement pour la faille WebKit ; watchOS 10.0.1, 9.6.3 et macOS Ventura 13.6 disposent de correctifs pour la vulnérabilité du noyau et de la sécurité ; et macOS Monterey 12.7 uniquement pour celui du noyau (bien que pour les deux versions de macOS, des entrées CVE supplémentaires arriveront rapidement).
Zero-days actuels signalés par Resident Lab
Plus tôt ce mois-ci, Apple a corrigé deux vulnérabilités zero-day (CVE-2023-41064, CVE-2023-41061) qui ont été enchaînées par des attaquants pour fournir le logiciel espion Pegasus de NSO Group. Les deux ont été signalés par The Resident Laboratory.
Quelques jours plus tard, Google a publié une mise à niveau de sécurité pour une vulnérabilité zero-day de Chrome (CVE-2023-4863) exploitée dans la nature. La vulnérabilité reste dans la bibliothèque d’images WebP et a en fait été signalée par Apple Security Engineering and Architecture (SEAR) et The Person Lab. (Mozilla a réparé le même défaut dans Firefox, Firefox ESR et Thunderbird le même jour.)
Ben Hawkes, anciennement chez Task No de Google et maintenant Isocèle (une société de sécurité en discussion avec la société qu’il a fondée), affirme que CVE -2023-4863 et CVE-2023-41064 peuvent être exactement la même faille.
CVE-2023-41064 est une vulnérabilité de dépassement de tampon dans la structure ImageI/O et peut être déclenchée par une image conçue de manière malveillante. .
« Cependant, nous comprenons qu’ImageIO a récemment commencé à prendre en charge les fichiers WebP, et nous savons que le 6 septembre (un jour avant la publication de sécurité iOS/macOS), l’équipe de sécurité d’Apple a signalé une vulnérabilité WebP dans Chrome qui a été signalé de toute urgence (seulement 5 jours après le rapport préliminaire) et marqué par Google comme « exploité à l’état sauvage ». Sur cette base, il semble probable que [CVE-2023-41064] et CVE-2023-4863 soient le même bug, » il a noté.
Il a également déclaré que CVE-2023-4863 a en fait été correctement corrigé dans la bibliothèque libwebp, il faudra probablement un certain temps pour qu’il soit implémenté dans toutes les applications logicielles qui l’utilisent.
Mode de verrouillage amélioré dans iOS 17
Apple a publié iOS 17 cette semaine, et avec lui quelques mises à jour du mode de verrouillage, qui offre une sécurité spécialisée aux utilisateurs exposés au risque de cyberattaques extrêmement ciblées ( par exemple, des logiciels espions mercenaires parrainés par l’État tels que Pegasus).
Le mode de verrouillage traite désormais également l’Apple Watch, élimine par défaut les informations de géolocalisation des images et empêche les appareils de rejoindre des réseaux Wi-Fi non sécurisés et des réseaux cellulaires 2G. réseaux.
Toute l’actualité en temps réel, est sur L’Entrepreneur
