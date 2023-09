Apple a publié des mises à jour de sécurité d'urgence pour remédier à deux vulnérabilités Zero Day qui ont été exploitées lors d'attaques ciblant les utilisateurs d'iPhone et de Mac. Ces derniers correctifs portent à 13 le nombre total de correctifs Zero Day cette année.

Les failles de sécurité ont été découvertes dans les frameworks Image I/O et Wallet et sont identifiées comme CVE-2023-41064 et CVE-2023-41061. CVE-2023-41064 est une faiblesse de dépassement de tampon qui peut être déclenchée par le traitement d'images conçues de manière malveillante, conduisant potentiellement à l'exécution de code arbitraire sur des appareils non corrigés. D'un autre côté, CVE-2023-41061 est un problème de validation qui peut également entraîner l'exécution de code arbitraire via une pièce jointe malveillante.

Apple a corrigé ces vulnérabilités dans diverses mises à jour du système d'exploitation, notamment macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 et watchOS 9.6.2. Ces mises à jour incluent des améliorations de la logique et de la gestion de la mémoire pour atténuer les risques associés aux vulnérabilités du jour zéro.

L'impact de ces bugs de sécurité est important, car ils affectent une large gamme d'appareils, notamment l'iPhone 8 et les modèles ultérieurs, l'iPad Pro (tous les modèles), l'iPad Air de 3e génération et ses versions ultérieures, l'iPad de 5e génération et ses versions ultérieures, l'iPad mini de 5e génération. et versions ultérieures, et les Mac exécutant macOS Ventura. De plus, les modèles Apple Watch Series 4 et ultérieurs sont également concernés.

Bien que Apple n'ait pas divulgué de détails spécifiques sur les attaques exploitant ces vulnérabilités, Apple a reconnu que CVE-2023-41064 avait été découvert et signalé par Citizen Lab, un organisme de recherche connu pour ses découvertes sur l'exploitation des failles Zero Day d'Apple dans des attaques ciblées. .

Ce n’est pas la première fois qu’Apple s’attaque aux vulnérabilités du jour zéro cette année. En juillet, la société a publié des mises à jour RSR (Rapid Security Response) hors bande pour corriger une vulnérabilité affectant les iPhones, Mac et iPads entièrement corrigés. Cependant, ces mises à jour ont initialement causé des problèmes de navigation sur le Web et Apple a dû publier des versions corrigées des correctifs.

Sources:

– [Source 1]

– [Source 2]