Apple corrige 3 Failles critiques activement exploitées.
Les mises à jour d’urgence d’Apple corrigent 3 nouveaux zero-day exploités lors d’attaques. Apple a publié des mises à jour de sécurité d’urgence pour corriger trois nouvelles vulnérabilités Zero Day exploitées lors d’attaques ciblant les utilisateurs d’iPhone et de Mac, pour un total de 16 Zero Day corrigés cette année. Deux bogues ont été trouvés dans le moteur du navigateur WebKit (CVE-2023-41993) et dans le cadre de sécurité (CVE-2023-41991), permettant aux attaquants de contourner la validation de signature à l’aide d’applications malveillantes ou d’exécuter du code arbitraire via des pages Web conçues de manière malveillante.
CVE-2023-41991. Un problème de validation du certificat a été résolu. Ce problème est résolu dans iOS 16.7 et iPadOS 16.7, OS 17.0.1 et iPadOS 17.0.1, watchOS 9.6.3, macOS Ventura 13.6, watchOS 10.0.1. Une application malveillante peut être capable de contourner la validation de signature. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.
CVE-2023-41992. Le problème a été résolu par des contrôles améliorés. Ce problème est résolu dans iOS 16.7 et iPadOS 16.7, OS 17.0.1 et iPadOS 17.0.1, watchOS 9.6.3, macOS Ventura 13.6, macOS Monterey 12.7, watchOS 10.0.1. Un attaquant local peut être en mesure d’élever ses privilèges. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.
CVE-2023-41993. Le problème a été résolu par des contrôles améliorés. Ce problème est résolu dans iOS 16.7 et iPadOS 16.7, iOS 17.0.1 et iPadOS 17.0.1, Safari 16.6.1. Le traitement du contenu Web peut conduire à l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS antérieures à iOS 16.7.
Dans le domaine de la sécurité informatique, une vulnérabilité Zero-Day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive. La terminologie Zero Day ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique exploitant cette faille afin de conduire des actions indésirables sur le produit concerné.
Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.
Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement. Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateur du système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal. Ce mécanisme est utile pour lancer des processus sensibles, pouvant nécessiter des compétences particulières en administration système : par exemple lors d'une manipulation des partitions d'un disque dur, ou lors du lancement d'un nouveau service. L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité.
Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.
