Apple déploie des correctifs pour contrer des failles de sécurité exploitées activement

Les vulnérabilités, qui résident toutes deux dans le moteur de navigation WebKit, sont décrites ci-dessous. Apple a déclaré être au courant de rapports exploitant les failles « contre des versions d’iOS antérieures à iOS 16.7.1 », qui a été publié le 10 octobre 2023. Clément Lecigne, du Threat Analysis Group (TAG) de Google, a été crédité de la découverte et du signalement de ces deux failles.

Le fabricant de l’iPhone n’a pas fourni d’informations supplémentaires concernant l’exploitation en cours, mais des failles zéro dans iOS ont déjà été utilisées pour diffuser des logiciels espions mercenaires ciblant des personnes à haut risque, telles que des activistes, des dissidents, des journalistes et des hommes politiques.

Il convient de souligner ici que tous les navigateurs web tiers disponibles pour iOS et iPadOS, y compris Google Chrome, Mozilla Firefox, Microsoft Edge et d’autres, sont alimentés par le moteur de rendu WebKit en raison des restrictions imposées par Apple, ce qui en fait une surface d’attaque lucrative et étendue.

Les mises à jour sont disponibles pour les appareils et systèmes d’exploitation suivants – Avec les derniers correctifs de sécurité, Apple a remédié à pas moins de 19 failles de sécurité activement exploitées depuis le début de l’année 2023. Cette mise à jour intervient également quelques jours après que Google a livré des correctifs pour une faille de haute sévérité dans Chrome (CVE-2023-6345) qui a également fait l’objet d’attaques dans le monde réel, ce qui en fait le septième jour zéro à être corrigé par l’entreprise cette année.