Apple ferme la vulnérabilité zero-day dans iOS, iPadOS et macOS

Pomme chapeau iOS 16.6, iPadOS 16.6 et mac OS 13.5 publié. Les mises à jour corrigent une vulnérabilité zero-day qui, selon les conclusions de l’entreprise, est déjà activement exploitée pour des attaques. Jusqu’à présent, cependant, ceux-ci ne devraient être destinés qu’aux appareils avec iOS 15.7 et versions antérieures.

La vulnérabilité zero-day se trouve dans le noyau des systèmes d’exploitation Apple. “Une application peut éventuellement modifier l’état confidentiel du noyau”, a déclaré la société dans un avertissement de sécurité. Le problème a été résolu par une meilleure gestion de l’état du noyau.

25 trous dans iOS, 42 trous dans macOS

Selon Apple, la vulnérabilité a été découverte par des employés du fournisseur de sécurité Kaspersky. Cela suggère que la vulnérabilité zero-day est utilisée pour injecter des logiciels malveillants.

Avec iOS16 et iPadOS 16, Apple bouche un total de 25 trous. Des correctifs sont disponibles pour les composants Apple Neural Engine, Find My, Kernel et WebKit, entre autres. Les failles les plus graves peuvent permettre à une personne non autorisée d’injecter et d’exécuter à distance du code malveillant et même de contourner des fonctionnalités de sécurité comme un bac à sable.

Cependant, l’avis pour macOS 13.5 répertorie 42 problèmes de sécurité. Les composants AppSandbox, Assets, Kernel, libxpc, OpenLDAP, PackageKit et WebKit, entre autres, sont ici vulnérables. Outre l’exécution de code à distance, les mises à jour visent également à empêcher la divulgation d’informations confidentielles et les attaques par déni de service.

Comme toujours, Apple distribue les mises à jour pour iPhone et iPad par voie hertzienne. Ils sont également disponibles pour iOS 15.7 et iPadOS 15.7. Les utilisateurs de macOS 13 Ventura, 12 Monterey et 11 Big Sur reçoivent les nouvelles versions du système d’exploitation via la fonction de mise à jour intégrée.