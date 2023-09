Comme en début de mois, une mise à jour iOS est à appliquer sans tarder pour l'iPhone. Il s'agit d'iOS 17.0.1 ou iOS 16.7. Disponible à partir d'aujourd'hui, l'iPhone 15 est concerné et a même droit à une autre mise à jour spécifique iOS 17.0.2, mais sans caractère d'urgence pour cette dernière.

Ce sont trois vulnérabilités de sécurité qui sont à combler rapidement. Elles font toutes l'objet d'une exploitation active dans des attaques. Peu de détails sont toutefois communiqués pour le moment concernant ces vulnérabilités 0-day.

Une vulnérabilité CVE-2023-41993 touche le moteur de rendu WebKit et permet une exécution de code arbitraire via des pages web malveillantes spécialement conçues. Une vulnérabilité CVE-2023-41991 affecte le framework Security et permet à une application malveillante de contourner la validation des signatures.

De type élévation de privilèges et avec une attaque en local, la troisième vulnérabilité CVE-2023-41992 concerne le noyau.

Une petite idée de la menace

Les failles ont été signalées à Apple par des chercheurs en sécurité du Citizen Lab de l'Université de Toronto et du Threat Analysis Group de Google. C'est déjà un indice sur la nature de l'exploitation dans des attaques.

Le Threat Analysis Group de Google a principalement pour mission de suivre les acteurs impliqués dans des opérations d'information, attaques soutenues par des gouvernements et abus à motivation financière. Il suit également les activités de fournisseurs de logiciels espions commerciaux.

Or, il s'avère que le Citizen Lab de l'Université de Toronto est surtout connu pour ses rapports concernant le spyware Pegasus développé par NSO Group. Les cibles peuvent être des ONG, des responsables politiques ou encore des journalistes.

Pas uniquement pour l'iPhone

Comme souvent et en raison de nombreux éléments communs, la mise à jour de sécurité pour iOS n'arrive pas seule. Apple propose également une mise à jour iPadOS 17.0.1 (et iPadOS 16,7), macOS Ventura 13.6 (et macOS Monterey 12.7), watchOS 10.0.1 (et watchOS 9.6.3).