Une attaque zero-day est une effraction qui exploite une vulnérabilité de sécurité logicielle, dont le développeur ou le fournisseur ne peut pas avoir connaissance. Récemment, l’entreprise Apple a publié de nouvelles mises à jour de sécurité pour iOS, iPadOS, macOS et Safari, qui corrigent une nouvelle vulnérabilité WebKit. Selon l’entreprise, cette faille est déjà activement exploitée par certains pirates.
En effet, la faille a été trouvée dans le logiciel de rendu Web d’Apple, WebKit, qui constitue le cœur du navigateur Safari intégré sur tous les systèmes d’exploitation Apple. En outre, tous les programmes iPhone et iPad de l’App Store capables de restituer et d’afficher du contenu HTML sont contraints par Apple d’utiliser WebKit.
Par ailleurs, cette mise à jour représente le troisième correctif de la firme depuis le début de l’année 2022. Tous les utilisateurs d’Apple doivent rapidement mettre à jour leurs appareils pour empêcher aux cybercriminels de s’y introduire.
Une exploitation active de la vulnérabilité par des pirates
Le virus, nommé CVE – 2022-22620, implique une vulnérabilité dans le composant WebKit du navigateur web Safari qui le prend en charge. Il s’agit d’une vulnérabilité de type “user-after-free” qui peut être exploitée pour exécuter du code arbitraire à partir d’un contenu web spécialement conçu.
Cette fragilité représente donc une faille exploitable pour les attaques à distance, état de chose qui n’a malheureusement pas échappé aux pirates qui l’exploitent déjà activement. C’est d’ailleurs pour cela que la firme de Steve Jobs, Apple, a décidé de sortir une nouvelle mise à jour.
« Apple est au courant d’un rapport indiquant que ce problème a pu être activement exploité. »
Apple
La publication d’une nouvelle mise à jour
Les nouvelles améliorations de la firme sont disponibles pour les iPhones 6s et ultérieurs, l’iPad Pro (tous les modèles), l’Air 2 et ultérieur, et l’iPad 5e génération et ultérieur. Elles sont également accessibles pour l’iPad mini 4 et ultérieur, l’iPod touch (7e génération) et les appareils exécutant macOS Big Sur et macOS Catalina.
Par ailleurs, une mise à jour spéciale est également disponible pour le navigateur Safari. Il s’agit du troisième correctif de jour zéro publié par Apple, après CVE-2022-22587 et CVE-2022-22594. Ceux-ci peuvent être utilisés pour exécuter un code arbitraire ou suivre l’activité de l’utilisateur dans le navigateur web.
SOURCE : THEHACKERNEWS