Apple corrige trois nouvelles failles critiques zero-day.
Apple corrige trois nouveaux zero-day exploités pour pirater des iPhones, des Macs.
Apple a corrigé trois nouvelles vulnérabilités zero-day exploitées dans des attaques pour pirater les iPhones, les Mac et les iPad. “Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité”, a révélé la société dans des avis de sécurité décrivant les failles. Les bogues de sécurité ont tous été trouvés dans le moteur de navigateur WebKit multiplateforme et sont suivis comme CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373. (Sources)
CVE-2023-32409, un attaquant distant peut être en mesure de sortir du bac à sable du contenu Web. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité. le problème a été résolu par une amélioration des vérifications des limites. (Sources)
CVE-2023-28204, le traitement du contenu Web peut divulguer des informations sensibles. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité. Une lecture hors limites a été résolue par une meilleure validation des entrées. (Sources)
CVE-2023-32373, le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité. Un problème d’utilisation après libération a été résolu par une meilleure gestion de la mémoire. (Sources)
Dans le domaine de la sécurité informatique, une vulnérabilité Zero-Day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive. La terminologie Zero Day ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique exploitant cette faille afin de conduire des actions indésirables sur le produit concerné.
Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.
Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.
