Un jour après que les journalistes ont publié leur premier examen pratique du Vision Pro d’Apple, le géant de la technologie a publié son premier correctif de sécurité pour le casque de réalité mixte afin de corriger une vulnérabilité qui « pourrait avoir été exploitée » par des pirates informatiques sauvages.
Mercredi, Apple a publié visionOS 1.0.2, le logiciel qui s’exécute sur Vision Pro, avec un correctif pour une vulnérabilité dans WebKit, le moteur de navigateur qui exécute Safari et d’autres applications Web. Apple a déclaré que le bug, s’il était exploité, permettait à un code malveillant de s’exécuter sur un appareil concerné.
Il s’agit de la même vulnérabilité qu’Apple a corrigée la semaine dernière lors du déploiement d’iOS 17.3, qui comprenait des correctifs pour les iPhones, iPads, Mac et Apple TV, qui reposent tous sur WebKit. Aucun correctif pour ce bug, officiellement identifié comme CVE-2024-23222, n’a été publié pour Apple Watch.
Il n’est pas immédiatement clair si des pirates malveillants ont utilisé cette vulnérabilité pour exploiter spécifiquement Vision Pro d’Apple, et le porte-parole d’Apple, Scott Radcliffe, n’a pas répondu à la question de TechCrunch.
On ne sait pas non plus qui exploitait cette vulnérabilité, ni pour quelle raison.
Il n’est pas rare que des acteurs malveillants, tels que les créateurs de logiciels espions, ciblent les faiblesses de WebKit afin de s’introduire dans le système d’exploitation sous-jacent de l’appareil et dans les données personnelles de l’utilisateur. Les bugs de WebKit peuvent parfois être exploités lorsqu’une victime visite un domaine malveillant dans son navigateur ou dans le navigateur de l’application.
Apple a déployé plusieurs correctifs pour les bogues de WebKit l’année dernière.
Vision Pro devrait être disponible à partir de vendredi.