Apple a publié des mises à jour d'urgence pour corriger deux failles zero-day activement exploitées sur les anciens iPhones, iPad, et Mac. La société a déclaré qu'elle était au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité.
CVE-2023-28206, CVE-2023-28205 Jours zéro
La première faille de sécurité, connu sous le nom de CVE-2023-28206, a été classé comme un problème d'écriture hors limites situé dans IOSurfaceAccelerator. La vulnérabilité pourrait permettre à des acteurs malveillants d'exécuter du code arbitraire avec les privilèges du noyau sur les appareils ciblés. Le deuxième jour zéro, CVE-2023-28205, est un Kit Web use after free vulnérabilité qui pourrait permettre à un code malveillant d'être exécuté sur des appareils compromis après que les utilisateurs ont été amenés à charger des pages Web malveillantes. Ces correctifs de sécurité ont été publiés vendredi.
En fonction des vulnérabilités, Pomme a publié aujourd'hui des mises à jour logicielles pour résoudre les vulnérabilités zero-day découvertes dans iOS 15.7.5 et iPadOS 15.7.5, macOS Monterey 12.6.5, et macOS Big Sur 11.7.6. Ces mises à jour améliorent la validation des entrées et la gestion de la mémoire, et protéger les appareils suivants: iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1ère génération), ipad air 2, ipad mini (4ème génération), Ipod touch (7ème génération), et Mac exécutant macOS Monterey et Big Sur. Il convient de noter que les failles du jour zéro ont été initialement identifiées par des chercheurs du groupe d'analyse des menaces de Google et du laboratoire de sécurité d'Amnesty International., qui ont signalé qu'ils étaient exploités dans la nature.
Qu'est-ce qu'une vulnérabilité Zero-Day?
Zero-day, ou 0-jour, est un terme utilisé pour décrire une vulnérabilité, exploiter, et attaque dans le logiciel ou le matériel. Une vulnérabilité Zero-Day est un bogue logiciel inconnu du fournisseur du logiciel, permettant à un cybercriminel d'en profiter à des fins malveillantes. Un Zero-Day Exploit est la méthode développée par le cybercriminel pour exploiter la vulnérabilité, et une attaque Zero-Day est le déploiement de l'exploit dans un scénario d'attaque, qui peuvent être utilisés pour voler des données sensibles ou causer d'autres formes de dommages.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: