Apple corrige 3 Failles critiques exploitées.

Apple corrige 3 Failles critiques activement exploitées.

Les mises à jour d’urgence d’Apple corrigent 3 nouveaux zero-day exploités lors d’attaques. Apple a publié des mises à jour de sécurité d’urgence pour corriger trois nouvelles vulnérabilités Zero Day exploitées lors d’attaques ciblant les utilisateurs d’iPhone et de Mac, pour un total de 16 Zero Day corrigés cette année. Deux bogues ont été trouvés dans le moteur du navigateur WebKit (CVE-2023-41993) et dans le cadre de sécurité (CVE-2023-41991), permettant aux attaquants de contourner la validation de signature à l’aide d’applications malveillantes ou d’exécuter du code arbitraire via des pages Web conçues de manière malveillante.

CVE-2023-41991. Un problème de validation du certificat a été résolu. Ce problème est résolu dans iOS 16.7 et iPadOS 16.7, OS 17.0.1 et iPadOS 17.0.1, watchOS 9.6.3, macOS Ventura 13.6, watchOS 10.0.1. Une application malveillante peut être capable de contourner la validation de signature. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.

CVE-2023-41992. Le problème a été résolu par des contrôles améliorés. Ce problème est résolu dans iOS 16.7 et iPadOS 16.7, OS 17.0.1 et iPadOS 17.0.1, watchOS 9.6.3, macOS Ventura 13.6, macOS Monterey 12.7, watchOS 10.0.1. Un attaquant local peut être en mesure d’élever ses privilèges. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.

CVE-2023-41993. Le problème a été résolu par des contrôles améliorés. Ce problème est résolu dans iOS 16.7 et iPadOS 16.7, iOS 17.0.1 et iPadOS 17.0.1, Safari 16.6.1. Le traitement du contenu Web peut conduire à l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.


Les vulnérabilités Zero-day représentent l'une des menaces les plus sérieuses en informatique. Ces failles, encore inconnues des développeurs et des utilisateurs, sont exploitées par les cybercriminels avant qu'un correctif puisse être développé. L'impact peut être dévastateur, permettant aux attaquants d'accéder à des données sensibles, de prendre le contrôle de systèmes informatiques ou de propager des logiciels malveillants.

Les attaques Zero-day sont difficiles à anticiper et à contrer, mettant en lumière l'importance de la surveillance constante des systèmes, de l'application rapide des correctifs et de la mise en place de mesures de sécurité robustes pour atténuer les risques.

Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.


L'élévation de privilège en informatique désigne le processus par lequel un utilisateur ou un programme obtient des droits d'accès supérieurs à ceux qui lui sont normalement accordés. Cela peut être intentionnel, comme lorsqu'un administrateur accorde temporairement des privilèges à un utilisateur pour effectuer une tâche spécifique, ou involontaire, souvent exploitée par des pirates pour compromettre un système. Les vulnérabilités logicielles et les failles de sécurité sont souvent exploitées pour réaliser des élévations de privilèges, mettant ainsi en danger la confidentialité et l'intégrité des données.

L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité. Pour prévenir de telles attaques, il est essentiel de maintenir à jour les logiciels et d'appliquer des bonnes pratiques en matière de sécurité informatique.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Apple est une entreprise multinationale américaine qui crée et commercialise des produits électroniques grand public, des ordinateurs personnels et des logiciels. Parmi les produits les plus connus de l'entreprise se trouvent les ordinateurs Macintosh, l'iPod, l'iPhone et l'iPad, la montre Apple Watch, le lecteur multimédia iTunes, la suite bureautique iWork, la suite multimédia iLife ou des logiciels à destination des professionnels tels que Final Cut Pro et Logic Pro.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut