Apple corrige une vulnérabilité zero-day exploitée sur iOS

Selon The Hacker News , la faille corrigée, référencée CVE-2023-42824, est une vulnérabilité du noyau qui pouvait permettre à un attaquant local d'élever ses privilèges. Apple a indiqué avoir reçu des signalements concernant cette vulnérabilité sur des versions antérieures à iOS 16.6 et avoir résolu le problème en renforçant ses contrôles.

Comme d'habitude, les détails concernant la nature des attaques et l'identité des auteurs n'ont pas été divulgués. La nouvelle mise à jour d'Apple corrige également la faille CVE-2023-5217 affectant le composant WebRTC, que Google avait précédemment décrite comme un dépassement de tampon dans la bibliothèque libvpx.

Avec les correctifs iOS 17.0.3 et iPadOS 17.0.3, Apple corrige non seulement le problème de surchauffe inhabituel de la nouvelle série iPhone 15, mais aussi un total de 17 vulnérabilités Zero-Day qui ont été activement exploitées sur les appareils concernés depuis le début de l'année.

Il y a deux semaines, le géant de Cupertino a publié iOS et iPadOS 17.0.2, corrigeant trois failles de sécurité (CVE-2023-41991, CVE-2023-41992 et CVE-2023-41993) dont l'exploitation active a été confirmée par des experts en sécurité. Ces failles zero-day ont été utilisées par Cytrox, une société israélienne spécialisée dans les logiciels espions, pour diffuser le malware Predator sur l'iPhone d'un ancien responsable du Parlement égyptien en début d'année.

Les utilisateurs susceptibles d'être ciblés peuvent utiliser le mode de verrouillage, intégré par Apple à iOS 16, afin de réduire le risque d'être exploités par des logiciels espions.