Les employés du gouvernement américain disposant d'appareils Apple ont jusqu'au 1er mai pour appliquer le dernier correctif afin de protéger leurs appareils contre une éventuelle compromission.
BleepingComputer a récemment signalé que la Cyber Security and Infrastructure Agency (CISA) ordonnait aux agences fédérales d'appliquer un correctif qui corrige CVE-2023-28206 et CVE-2023-28205 pour les iPhones, les ordinateurs Mac et les appareils iPad.
Apparemment, les failles sont activement exploitées dans la nature, pour donner aux acteurs malveillants un accès complet aux appareils cibles. "Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité", a déclaré le géant de Cupertino dans un avis publié avec les correctifs.
De nombreux appareils concernés
L'une est une vulnérabilité d'écriture hors limites dans IOSurface qui a permis aux acteurs de la menace de corrompre les données, de bloquer les applications et les appareils et d'exécuter du code à distance. Dans le pire des cas, un acteur malveillant pourrait pousser une application malveillante (s'ouvre dans un nouvel onglet) qui lui permet d'exécuter du code arbitraire avec les privilèges du noyau sur l'appareil.
L'autre est un WebKit aux conséquences similaires : corruption de données et exécution de code arbitraire par la visite d'une victime sur un site Web malveillant, entraînant l'exécution de code à distance.
Les failles ont été corrigées dans la version d'iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 et Safari 16.4.1, donc si vous êtes préoccupé par ces vulnérabilités, assurez-vous de mettre à jour vos systèmes vers la dernière version. . libérer dès que possible.
Apple a publié une liste de matériel vulnérable, qui comprenait tous les appareils iPad Pro et macOS Ventura, ainsi que les appareils iPad, iPad Mini et iPad Air, les deux premiers de 5e génération et les derniers de 3e génération. Les smartphones iPhone 8 sont également concernés.
La société a déclaré qu'elle était au courant des acteurs de la menace abusant des zero-days dans la nature, mais n'a pas discuté des détails. Les médias spéculent que les attaquants pourraient être parrainés par l'État, puisque les failles ont été découvertes par des chercheurs qui recherchent généralement des joueurs parrainés par le gouvernement.
Les chercheurs qui ont trouvé les failles sont Clément Lecigne du Threat Analysis Group de Google et Donncha Ó Cearbhaill du Security Lab d'Amnesty International. Apparemment, les pépins étaient utilisés dans le cadre d'une chaîne d'exploitation.
Via : BleepingComputer (Ouvre dans un nouvel onglet)