Apple a publié des mises à jour de sécurité d'urgence pour corriger une nouvelle vulnérabilité de type "zero-day" utilisée dans des attaques visant à pirater des iPhones, iPads et Macs.

La faille est un problème de confusion WebKit qui a été patchée sous le nom de CVE-2023-23529, elle pourrait être utilisée pour provoquer des plantages du système d'exploitation et obtenir l'exécution de code sur des appareils compromis.

Après avoir accédé à une page web malveillante, une exploitation réussie permet aux attaquants de lancer n'importe quel code sur des appareils exécutant des versions vulnérables d'iOS, iPadOS et macOS (le bogue a également un impact sur Safari 16.3.1 sur macOS Big Sur et Monterey).

"Le traitement d'un contenu web malicieusement conçu peut conduire à une exécution de code arbitraire", a déclaré Apple lors de la description du zero-day. "Selon un rapport, ce problème pourrait avoir été activement exploité".

Grâce à des tests améliorés dans iOS 16.3.1, iPadOS 16.3.1 et macOS Ventura 13.2.1, Apple a résolu la faille CVE-2023-23529.

Étant donné que la faille affecte à la fois des modèles plus anciens et plus récents, la liste complète des appareils impactés est assez longue et comprend : Les modèles d'iPhone les plus récents, Macs exécutant macOS Ventura, iPad Pro (tous les modèles), iPad Air (3e génération et ultérieur), iPad (5e génération et ultérieur) et iPad mini (5e génération et ultérieur).

Apple a également corrigé une faille de type kernel use after free (CVE-2023-23514) signalée par Xinru Chi de Pangu Lab et Ned Williamson de Google Project Zero, qui pouvait conduire à l'utilisation de code arbitraire avec les privilèges du noyau sur les Macs et les iPhones.

L'entreprise a reconnu avoir reçu des affirmations d'exploitation réelle, mais elle n'a pas encore publié de détails sur ces attaques.

En limitant l'accès à ces informations, Apple souhaite probablement donner au plus grand nombre possible de clients la possibilité de mettre à niveau leurs appareils avant que d'autres attaquants n'utilisent les informations de la vulnérabilité de type "zero-day" pour créer et employer leurs propres attaques uniques ciblant les Mac, iPhones et iPads sensibles.

Bien que ce bogue de type "zero-day" n'ait probablement été utilisé que dans le cadre d'attaques ciblées, il est fortement conseillé d'installer les correctifs d'urgence dès que possible afin de déjouer les attaques potentielles.