Apple a confirmé qu’une mise à jour du logiciel iPhone publiée il y a deux semaines corrigeait une vulnérabilité de sécurité zero-day qui, selon elle, était activement exploitée.
La mise à jour, iOS 16.1.2, a atterri le 30 novembre et a été déployée sur tous les iPhones pris en charge, y compris l’iPhone 8 et les versions ultérieures, avec des « mises à jour de sécurité importantes » non spécifiées.
Dans une divulgation sur sa page de mises à jour de sécurité mardi, Apple a déclaré que la mise à jour corrigeait une faille dans WebKit, le moteur de navigateur qui alimente Safari et d’autres applications, qui, s’il était exploité, pourrait permettre à un code malveillant de s’exécuter sur l’appareil de la personne. Le bogue est appelé un jour zéro car le fournisseur reçoit un préavis du jour zéro pour corriger la vulnérabilité.
Apple a déclaré que des chercheurs en sécurité du groupe d’analyse des menaces de Google, qui enquête sur les logiciels espions, le piratage et les cyberattaques soutenus par l’État, ont découvert et signalé le bogue WebKit.
Les bogues WebKit sont souvent exploités lorsqu’une personne visite un domaine malveillant dans son navigateur (ou via le navigateur intégré à l’application). Il n’est pas rare que de mauvais acteurs trouvent des vulnérabilités qui ciblent WebKit comme un moyen de s’introduire dans le système d’exploitation de l’appareil et les données privées de l’utilisateur. Les bogues WebKit peuvent être « enchaînés » à d’autres vulnérabilités pour percer plusieurs couches des défenses d’un appareil.
Apple a déclaré dans sa divulgation de mardi qu’il était conscient que la vulnérabilité était exploitée « contre les versions d’iOS publiées avant iOS 15.1 », qui a été publié en octobre 2021. En tant que tel, et pour ceux qui n’ont pas encore mis à jour vers iOS 16, Apple a également a publié iOS et iPadOS 15.7.2 pour corriger la vulnérabilité WebKit pour les utilisateurs exécutant des iPhones 6s et ultérieurs et certains modèles d’iPad.
Le bogue est suivi comme CVE-2022-42856 ou WebKit 247562. On ne sait pas pour quelle raison Apple a retenu les détails du bogue pendant deux semaines. Ni Apple ni Google n’ont renvoyé de demande de commentaire.
Apple a depuis publié iOS 16.2, qui inclut le chiffrement de bout en bout des données sauvegardées dans iCloud et d’autres nouvelles fonctionnalités.