Ils permettent l’injection et l’exécution à distance de code malveillant. L’exploitation via des applications manipulées ou des sites Web spécialement conçus est possible.
Pomme a deux Zero-Day-Lücken dans iOS 16 et iPadOS 16 fermé. Tous les iPhones à partir de l’iPhone 8 et supérieur sont concernés, ainsi que tous les iPads Pro iPad Air 3 et plus récent, l’iPad 5 et plus récent, et le ipad mini 5 et plus récent. Les attaquants peuvent être en mesure d’injecter du code malveillant et de l’exécuter avec les privilèges du noyau.
Dans une notification de sécurité, Apple souligne qu’il existe déjà des rapports d’exploitation active des deux vulnérabilités. La société ne donne pas de détails à ce sujet. Cependant, il pourrait s’agir d’attaques ciblées contre des militants des droits de l’homme ou des militants politiques – outre Clément Lecigne du Threat Analysis Group de Google, Donnacha Ó Cearbhaill du Amnesty International Security Lab est également citée comme la découvreuse des vulnérabilités.
iOS 16.4.1 et iPadOS 16.4.1 corrigent les bugs
La première vulnérabilité se trouve dans le composant IOSurfaceAccelerator. Selon Apple, il peut être exploité à l’aide d’une application spécialement conçue. Une vulnérabilité dans WebKit basée sur un bogue use-after-free permet également l’exécution de code à distance. Ici, il suffit apparemment d’attirer un utilisateur vers un site Web spécialement conçu.
Les correctifs pour les deux vulnérabilités sont inclus dans la mise à jour actuellement disponible pour iOS 16.4.1 et iPadOS 16.4.1. Les mises à jour sont distribuées via la fonction de mise à jour du système d’exploitation mobile. L’installation de la nouvelle version du système d’exploitation peut également être lancée manuellement via l’élément Mise à jour du logiciel dans les paramètres généraux.
Apple utilise également la mise à jour pour corriger deux bogues. Récemment, aucune variante de couleur de peau n’a été affichée pour l’emoji avec les mains qui poussent. Aussi, selon Apple, Siri ne répondait parfois pas.
