• Votre panier est vide.

  • LOGIN

Apple publie des correctifs pour les failles activement exploitées dans iOS, macOS et Safari


Certains articles de veille peuvent faire l'objet de traduction automatique.


22 juin 2023Ravie LakshmananVulnérabilité / Sécurité des terminaux

Apple a publié mercredi un une multitude de mises à jour pour iOS, iPadOS, macOS, watchOS et le navigateur Safari pour résoudre un ensemble de failles qui, selon lui, étaient activement exploitées dans la nature.

Cela inclut une paire de zero-days qui ont été militarisés dans une campagne de surveillance mobile appelée Operation Triangulation qui est active depuis 2019. L’acteur exact de la menace derrière la campagne n’est pas connu.

  • CVE-2023-32434 – Une vulnérabilité de débordement d’entier dans le noyau qui pourrait être exploitée par une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau.
  • CVE-2023-32435 – Une vulnérabilité de corruption de mémoire dans WebKit qui pourrait entraîner l’exécution de code arbitraire lors du traitement de contenu Web spécialement conçu.

Le fabricant d’iPhone a déclaré qu’il était conscient que les deux problèmes « pourraient avoir été activement exploités contre des versions d’iOS publiées avant iOS 15.7 », remerciant les chercheurs de Kaspersky Georgy Kucherin, Leonid Bezvershenko et Boris Larin de les avoir signalés.

L’avis intervient alors que le fournisseur russe de cybersécurité a disséqué l’implant de logiciel espion utilisé dans la campagne d’attaque sans clic ciblant les appareils iOS via iMessages portant une pièce jointe intégrée avec un exploit pour une vulnérabilité d’exécution de code à distance (RCE).

Le code d’exploitation est également conçu pour télécharger des composants supplémentaires afin d’obtenir des privilèges root sur l’appareil cible, après quoi la porte dérobée est déployée en mémoire et l’iMessage initial est supprimé pour dissimuler la piste d’infection.

L’implant sophistiqué, appelé TriangleDB, fonctionne uniquement dans la mémoire, ne laissant aucune trace de l’activité après un redémarrage de l’appareil. Il est également livré avec diverses capacités de collecte et de suivi des données.

La cyber-sécurité

Cela inclut « l’interaction avec le système de fichiers de l’appareil (y compris la création, la modification, l’exfiltration et la suppression de fichiers), la gestion des processus (inscription et résiliation), l’extraction des éléments du trousseau pour recueillir les informations d’identification de la victime et la surveillance de la géolocalisation de la victime, entre autres ».

Également patché par Apple est un troisième zero-day CVE-2023-32439qui a été signalé de manière anonyme et pourrait entraîner l’exécution de code arbitraire lors du traitement de contenu Web malveillant.

La faille activement exploitée, décrite comme un problème de confusion de type, a été résolue par des contrôles améliorés. Les mises à jour sont disponibles pour les plateformes suivantes –

Avec la dernière série de correctifs, Apple a résolu un total de neuf failles zero-day dans ses produits depuis le début de l’année.

En février, la société a corrigé une faille WebKit (CVE-2023-23529) qui pourrait conduire à l’exécution de code à distance. En avril, il a publié des mises à jour pour résoudre deux bogues (CVE-2023-28205 et CVE-2023-28206) qui permettaient l’exécution de code avec des privilèges élevés.

Par la suite, en mai, il a envoyé des correctifs pour trois autres vulnérabilités dans WebKit (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) qui pourraient permettre à un acteur malveillant d’échapper à la protection du bac à sable, d’accéder à des données sensibles et exécuter du code arbitraire.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

juin 22, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)