Apple a publié mardi des mises à jour de sécurité qui, selon elle, sont « recommandées à tous les utilisateurs », après avoir corrigé quelques bugs de sécurité utilisés dans les cyberattaques actives ciblant les utilisateurs de Mac.
Dans un avis de sécurité publié sur son site Web, Apple a déclaré avoir connaissance de deux vulnérabilités qui « pourraient avoir été activement exploitées sur les systèmes Mac à processeur Intel ». Ces bugs sont considérés comme des vulnérabilités « Zero Day » car ils étaient inconnus d’Apple au moment où ils ont été exploités.
Pour corriger les bugs, Apple a publié une mise à jour logicielle pour macOS, ainsi que des correctifs pour les iPhones et iPads, y compris les utilisateurs exécutant l’ancien logiciel iOS 17.
On ne sait pas encore qui est à l’origine des attaques ciblant les utilisateurs de Mac, ni combien d’utilisateurs de Mac ont été ciblés, ni si certains ont été compromis avec succès. Les vulnérabilités ont été signalées par des chercheurs en sécurité du groupe d’analyse des menaces de Google, qui enquête sur les piratages informatiques et les cyberattaques soutenus par le gouvernement, suggérant qu’un acteur gouvernemental pourrait être impliqué dans les attaques. Les cyberattaques soutenues par le gouvernement impliquent parfois l’utilisation de logiciels espions téléphoniques commerciaux.
En ce qui concerne les bogues eux-mêmes, Apple a déclaré que les vulnérabilités concernaient WebKit et JavaScriptCore, les moteurs Web qui alimentent le navigateur Safari et exécutent le contenu Web. WebKit est une cible fréquente des pirates informatiques malveillants, qui ciblent les vulnérabilités du moteur afin de pénétrer dans le logiciel plus large de l’appareil et d’accéder aux données privées de l’utilisateur.
L’avis de sécurité indique que les bogues peuvent être exploités en incitant les appareils Apple vulnérables à traiter du contenu Web malveillant, tel qu’un site Web ou un courrier électronique, afin de déclencher l’exécution de code arbitraire, ce qui peut permettre l’implantation de logiciels malveillants sur l’appareil d’une cible.
Les utilisateurs doivent mettre à jour leurs iPhones, iPads et Mac dès que possible.
Apple n’a pas fait de commentaire lorsqu’il a été contacté par TechCrunch mardi.
