Apple a une fois de plus publié des mises à jour de sécurité pour remédier aux vulnérabilités zero-day utilisées dans les attaques contre les iPhone, iPad et Mac.
Dans un conseil en sécurité publié sur son site, la société basée à Cupertino a expliqué qu’elle était au courant d’un rapport selon lequel ces problèmes pourraient avoir été activement exploités par des pirates. Pour cette raison, il est important que vous installiez les dernières mises à jour de sécurité pour vos appareils Apple dès que possible.
Ces trois nouveaux zero-days ont été découverts dans le moteur de navigateur open source WebKit qui alimente Safari d’Apple ainsi que Google Chrome sur iOS, iPadOS et macOS. Selon BleepingComputer, la première vulnérabilité (suivie sous le nom de CVE-2023-32409) est une évasion de bac à sable qui peut être exploitée par un attaquant pour sortir des bacs à sable de contenu Web.
Le prochain zero-day (suivi sous le nom de CVE-2023-28204) est une faille de lecture hors limites qui peut être utilisée par un attaquant pour accéder à des informations sensibles stockées sur des appareils Apple. Pendant ce temps, le troisième jour zéro est un problème d’utilisation après libération qui permet d’exécuter du code arbitraire sur des appareils compromis.
Comme Apple le fait souvent, la société n’a pas encore publié de détails sur les attaques exploitant ces vulnérabilités du jour zéro afin de donner à ses clients plus de temps pour mettre à jour leurs appareils.
Quels appareils Apple sont concernés ?
Comme ces trois failles zero-day affectent à la fois les anciens et les nouveaux smartphones, tablettes, ordinateurs, montres intelligentes et équipements de streaming Apple, la liste des appareils concernés est assez longue. Voici tous ceux qui sont concernés
- iPhone 6s
- iPhone 7
- iPhone SE (1re génération)
- iPhone 8 et versions ultérieures
- iPadAir 2
- iPad Mini (4e génération)
- iPod touch (7e génération)
- Mac exécutant macOS Big Sur, Monterey et Ventura
- Apple Watch série 4 et versions ultérieures
- Apple TV 4K (tous les modèles)
- AppleTV HD
Heureusement, Apple a corrigé ces failles avec la sortie de macOS Ventura 13.4, iOS 16.5, iPadOS 16.5, tvOS 16.5, watchOS 9.4 et Safari 16.5. Cependant, les deux dernières failles zero-day ont d’abord été corrigées par les correctifs Rapid Security Response (RSR) de la société pour iOS 16.5.1 et macOS 13.3.1 publiés au début de ce mois.
Comment rester à l’abri des attaques exploitant les failles zero-day
Contrairement aux applications malveillantes ou aux logiciels malveillants, vous ne pouvez pas faire grand-chose en tant qu’utilisateur final pour vous protéger contre les attaques qui exploitent les vulnérabilités du jour zéro. Bien que le meilleur logiciel antivirus pour Mac puisse vous protéger de la plupart des cyberattaques, on ne peut pas en dire autant de ceux qui tirent parti des zero-days.
La raison en est que, par définition, une vulnérabilité zero-day est une vulnérabilité qui a été découverte par des attaquants avant qu’une entreprise n’en ait pris connaissance. Des correctifs n’ont pas encore été créés pour les corriger et, malheureusement, vous devrez attendre qu’Apple ou d’autres sociétés de technologie les traitent.
Néanmoins, une fois que les correctifs sont disponibles, c’est à vous de les installer dès que possible. Attendre pour le faire vous expose à des risques, car les pirates ciblent souvent les utilisateurs qui n’ont pas encore installé les dernières mises à jour de sécurité.
Nous pourrions peut-être en savoir plus sur les attaques qui ont été repérées dans la nature en exploitant ces failles, mais généralement, Apple aime jouer les choses près de la poitrine en ce qui concerne les jours zéro.