Les chercheurs du groupe d’analyse des menaces de Google ont été plus occupés que jamais avec les découvertes qui ont conduit à la divulgation de trois vulnérabilités zero-day de haute gravité exploitées activement dans les systèmes d’exploitation Apple et le navigateur Chrome en l’espace de 48 heures.
Apple a annoncé jeudi la publication de mises à jour de sécurité corrigeant deux vulnérabilités présentes dans iOS, macOS et iPadOS. Les deux résident dans WebKit, le moteur qui pilote Safari et un large éventail d’autres applications, notamment Apple Mail, l’App Store et tous les navigateurs fonctionnant sur iPhone et iPad. Bien que la mise à jour s’applique à toutes les versions prises en charge des systèmes d’exploitation Apple, la divulgation de jeudi suggère que les attaques sauvages exploitant les vulnérabilités ciblaient les versions antérieures d’iOS.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité sur des versions d’iOS antérieures à iOS 16.7.1 », ont écrit les responsables d’Apple à propos des deux vulnérabilités, qui sont suivies sous les noms CVE-2023-42916 et CVE-2023-42917.
CVE-2023-42916 est une lecture hors limites qui permet aux pirates informatiques d’obtenir des informations sensibles lorsque des applications basées sur WebKit traitent du contenu en ligne spécialement conçu. CVE-2023-42917 est une faille de corruption de mémoire qui amène les appareils vulnérables à exécuter du code malveillant lors du traitement du contenu créé par des pirates pour une application WebKit. Apple a attribué à Clément Lecigne de TAG la découverte des deux vulnérabilités. Ni Apple ni Google n’ont fourni de détails sur les attaques zero-day.
Mardi, Google a annoncé la publication d’une mise à jour corrigeant sept vulnérabilités de Chrome, dont l’une était de type zero-day, ce qui signifie que Google en a eu connaissance après que des exploits étaient déjà disponibles dans la nature. Google n’a fourni aucun détail supplémentaire concernant le jour zéro.
Le bug, identifié comme CVE-2023-6345, provient d’un dépassement d’entier, une classe courante de vulnérabilité qui permet aux pirates informatiques d’exécuter du code malveillant lorsque les cibles traitent du contenu spécialement conçu. La vulnérabilité réside dans le composant Skia du navigateur. Google a remercié Benoît Sevens et Clément Lecigne de TAG pour avoir signalé la vulnérabilité.
Les mises à jour Apple et Google sont automatiquement transmises aux appareils concernés. Les mises à jour sont installées lorsque les utilisateurs redémarrent leur appareil ou redémarrent leur navigateur. Les utilisateurs sont susceptibles de recevoir des notifications si suffisamment de temps s’écoule sans redémarrage. Les utilisateurs iOS, macOS et iPadOS peuvent installer manuellement les mises à jour en accédant aux paramètres système et en sélectionnant l’onglet Général. Pour installer manuellement la mise à jour Chrome, choisissez les trois points verticaux en haut à droite de la fenêtre et choisissez mise à jour.