Bulletin de sécurité Apple du 07 septembre 2023.

Bulletin de sécurité Apple du 07 septembre 2023.

De multiples vulnérabilités ont été découvertes dans les produits Apple. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et une exécution de code arbitraire. L’éditeur a connaissance de rapports indiquant que les vulnérabilités CVE-2023-41061 et CVE-2023-41064 sont activement exploitées. La vulnérabilité trouvée dans Apple iOS et iPadOS à 16.6 (Smartphone Operating System) est classée critique. Elle affecte une fonction inconnue du composant Image Handler, liée à une manipulation avec une valeur d’entrée inconnue, celle-ci peut entrainer une faille de classe buffer overflow.

CVE-2023-41064 : Un problème de débordement de mémoire tampon a été résolu par une gestion améliorée de la mémoire. Le traitement d’une image conçue de manière malveillante peut conduire à l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité. Correctif disponible pour : iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures.


Une faille de classe "buffer overflow" (débordement de tampon en français) est une vulnérabilité de sécurité informatique qui survient lorsque des données sont écrites dans une zone de mémoire tampon (ou "buffer") d'un programme informatique, et que ces données dépassent la capacité allouée à ce tampon. Lorsque cela se produit, les données excédentaires peuvent écraser d'autres parties de la mémoire ou du code du programme, ce qui peut entraîner des comportements inattendus et potentiellement des failles de sécurité exploitées par des attaquants. Voici comment cela fonctionne dans le détail :

Allocation de mémoire tampon : Les programmes informatiques utilisent souvent des mémoires tampons pour stocker temporairement des données, telles que les entrées utilisateur, les données de fichiers, etc. La mémoire tampon est généralement allouée avec une taille fixe pour éviter les débordements.
Débordement de tampon : Si un programme ne vérifie pas correctement la taille des données qu'il écrit dans une mémoire tampon, il est possible que des données trop volumineuses soient écrites dans le tampon. Cela peut provoquer un débordement de tampon, où les données excédentaires écrasent la mémoire adjacente.
Corruption de la mémoire : Lorsqu'un tampon déborde, il peut écraser d'autres variables, des données de contrôle, ou même des parties du code du programme. Cela peut entraîner un comportement imprévisible du programme, des plantages, ou, dans le pire des cas, une vulnérabilité de sécurité qui peut être exploitée par un attaquant.
Exploitation : Les attaquants peuvent exploiter les débordements de tampon pour exécuter un code malveillant sur la machine cible. Ils insèrent généralement un code spécialement conçu dans le tampon, qui est ensuite exécuté lorsque le débordement a lieu et remplace des parties du code du programme.

Pour prévenir les failles de classe "buffer overflow", il est essentiel de programmer de manière sécurisée en effectuant des vérifications appropriées sur les tailles des tampons et en utilisant des pratiques de programmation sécurisée. De plus, les langages de programmation modernes offrent des mécanismes de sécurité tels que les tampons sécurisés (buffer overflow protection) pour détecter et prévenir les débordements de tampon lors de l'exécution.


La confidentialité en informatique est un principe fondamental qui garantit la protection des données personnelles des utilisateurs. Elle implique que les informations sensibles soient accessibles uniquement aux personnes autorisées. Avec la prolifération des plateformes en ligne et des appareils connectés, la préservation de la confidentialité devient cruciale.

Les technologies telles que le chiffrement des données et les pare-feu jouent un rôle essentiel dans cette protection. Cependant, des préoccupations persistent concernant la collecte excessive de données par les entreprises et les gouvernements, mettant en péril la vie privée des individus. Ainsi, il est impératif de mettre en place des réglementations strictes et des pratiques de sécurité robustes pour préserver la confidentialité des données dans le monde numérique.

La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données.

De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Apple est une entreprise multinationale américaine qui crée et commercialise des produits électroniques grand public, des ordinateurs personnels et des logiciels. Parmi les produits les plus connus de l'entreprise se trouvent les ordinateurs Macintosh, l'iPod, l'iPhone et l'iPad, la montre Apple Watch, le lecteur multimédia iTunes, la suite bureautique iWork, la suite multimédia iLife ou des logiciels à destination des professionnels tels que Final Cut Pro et Logic Pro.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut