Si vous êtes un utilisateur Apple avec divers appareils, vous devez porter une attention particulière aux dernières mises à jour que la société vient de publier. Plus précisement, mises à jour de sécurité pour macOS, iOS, iPadOS, et Safari ont été déployés pour résoudre un zero-day qui a été exploité à l'état sauvage.
Qu'est-ce que CVE-2023-23529?
CVE-2023-23529 est une vulnérabilité de confusion de type dans WebKit, Le moteur de navigation d'Apple utilisé dans Safari, ainsi que tous les navigateurs web sur iOS et iPadOS. La faille est causée par le traitement de contenu Web malveillant, et pourrait conduire à l'exécution de code arbitraire sur les appareils exposés. Il a été corrigé avec des contrôles améliorés, selon Apple consultatif.
L'objectif principal de l'exploitation pourrait être associé à des activités de logiciels espions, c'est-à-dire. espionner les utilisateurs, mais il n'y a aucune confirmation officielle quant à la façon dont la faille a été exploitée.
CVE-2023-23529 a été corrigé dans les systèmes d'exploitation suivants – iOS 16.3.1 et iPadOS 16.3.1, macOS Ventura 13.2.1, Safari 16.3.1, et probablement dans tvOS 16.3.2 et watchos 9.3.1 (qui devra être confirmé en plus).
Il convient également de noter que la vulnérabilité a été initialement signalée par un chercheur anonyme, mais que le Citizen Lab de la Munk School de l'Université de Toronto a également été mentionné comme contributeur..
Autres vulnérabilités corrigées par Apple en février 2023
Apple a corrigé une vulnérabilité après libération de l'utilisateur dans le composant Kernel, identifié comme CVE-2023-23514. Le problème pourrait permettre à des applications malveillantes d'exécuter du code arbitraire avec les privilèges les plus élevés. Il a été corrigé avec une meilleure gestion de la mémoire.
La dernière version de macOS a également résolu un problème de confidentialité dans les raccourcis qui pourrait permettre aux applications malveillantes d'observer les données utilisateur non protégées.. Heureusement, cette faille est également corrigée – avec une meilleure gestion des fichiers temporaires.
Pour éviter tout scénario d'exploitation possible, vous devriez mettre à jour les dernières versions – iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1, et Safari 16.3.1. En ce qui concerne les appareils concernés, la liste comprend l'iPhone 8 et ensuite, tous les modèles d'iPad Pro, iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 5e génération et versions ultérieures, et Mac exécutant macOS Ventura, macOS Big Sur, et macOS Monterey.
En Février 2021, une autre vulnérabilité WebKit, CVE-2021-1801, a été exploité par une campagne de publicité malveillante pour injecter des charges utiles malveillantes qui redirigent les utilisateurs vers des sites conçus pour escroqueries carte cadeau.