Apple a publié aujourd’hui une importante mise à jour de sécurité pour iPhone, iPad et Mac. La liste des correctifs est courte, mais iOS 17.1.2 et macOS Sonoma 14.1.2 corrigent deux failles de sécurité Web qui ont été activement exploitées.
Dans les notes de version sur l’appareil pour ces mises à jour, Apple utilise sa déclaration passe-partout typique : « Cette mise à jour fournit des correctifs de sécurité importants et est recommandée à tous les utilisateurs. »
Mais celui d’Apple page des mises à jour de sécurité énumère les détails de deux failles exploitées – tous deux destinés à WebKit et signalés comme activement exploités.
La première faille utilisait le traitement Web pour « divulguer des informations sensibles » et la seconde utilisait le traitement Web pour permettre l’exécution de code arbitraire.
Voici les détails complets :
Kit Web
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : Le traitement du contenu Web peut divulguer des informations sensibles. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été exploité sur des versions d’iOS antérieures à iOS 16.7.1.
Description : une lecture hors limites a été résolue avec une validation d’entrée améliorée.
WebKit Bugzilla : 265041
CVE-2023-42916 : Clément Lecigne du groupe d’analyse des menaces de GoogleKit Web
Disponible pour : iPhone XS et versions ultérieures, iPad Pro 12,9 pouces 2e génération et versions ultérieures, iPad Pro 10,5 pouces, iPad Pro 11 pouces 1re génération et versions ultérieures, iPad Air 3e génération et versions ultérieures, iPad 6e génération et versions ultérieures et iPad mini 5ème génération et versions ultérieures
Impact : Le traitement du contenu Web peut conduire à l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été exploité sur des versions d’iOS antérieures à iOS 16.7.1.
Description : une vulnérabilité de corruption de mémoire a été corrigée avec un verrouillage amélioré.
WebKit Bugzilla : 265067
CVE-2023-42917 : Clément Lecigne du groupe d’analyse des menaces de Google
En rapport:
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.
