iOS 18.1.1, iPadOS 18.1.1, macOS Sequoia 15.1.1 ou encore visionOS 2.1.1, mais aussi iOS 17.7.2, iPadOS 17.7.2, ainsi que le navigateur Safari 18.1 pour macOS Ventura et macOS Sonoma. Apple publie des mises à jour dédiées à la correction des failles de sécurité.
Cette publication intervient dans l’urgence, car les deux défauts à corriger font l’objet d’un exploitation active dans les attaques. Ils affectent JavaScriptCore et WebKit.
Dans son avis de sécurité, Apple évoque la possibilité d’exécution de code arbitraire via le traitement de contenus web malveillants et une attaque de cross-site scripting (XSS ; injection indirecte de code) en lien avec un problème de gestion des cookies.
Une petite idée de la nature des attaques
Référencées CVE-2024-44308 et CVE-2024-44309, les deux vulnérabilités 0-day ont été signalées à Apple par des chercheurs en sécurité à l’adresse suivante : Groupe d’analyse des menaces (TAG) de Google. En l’absence de plus amples détails pour le moment, cela constitue déjà un indice sur le contenu de l’exploitation active.
La mission principale du TAG est de traquer les acteurs impliqués dans des opérations d’information, des attaques soutenues par le gouvernement et des abus motivés par des raisons financières. Les activités des fournisseurs commerciaux de logiciels espions sont particulièrement intéressantes.
Un point notable est que les rapports d’exploitation concernent Ordinateurs Mac basés sur Intel. Ceci étant dit, les actions correctives ne sont pas à négliger pour tous les systèmes évoqués par Apple.
Moins de vulnérabilités 0-day qu’en 2023
De plus amples informations sur les vulnérabilités et les attaques viendront probablement plus tard, lorsque les correctifs auront été suffisamment implémentés par les utilisateurs.
Selon les comptes tenus par BleepingComputer, Apple a corrigé six vulnérabilités 0-day depuis le début de cette année 2024. Actuellement, ce total est meilleur que l’année dernière avec une vingtaine de vulnérabilités 0 jour exploitées en pleine nature.
