L’actualité du monde de la cybersécurité ne cesse d’émerger. Les tiers malveillants ciblent constamment à la fois les personnes ordinaires et les organisations de premier plan, en fonction de leurs objectifs. Pour ces derniers, ils ont souvent recours à des méthodes complexes basées sur des vulnérabilités très spécifiques dont même le fabricant du produit technologique ou du logiciel compromis n'a pas connaissance. C'est ce qui s'est passé avec Apple, qui envoie un correctif Zero Day à plusieurs appareils.
Les vulnérabilités Zero Day sont celles dont les fabricants d’appareils n’ont pas connaissance. Cependant, des attaquants potentiels pourraient les découvrir et les exploiter activement tant qu'ils sont disponibles. Même si Apple est l'une des entreprises qui prend le plus soin de la sécurité et de la confidentialité de ses utilisateurs, elle n'est pas exempte d'incidents occasionnels.
Vulnérabilité Zero Day sur les appareils Apple corrigée avec un correctif
Aujourd'hui, Apple a envoyé des mises à jour d'urgence avec un correctif Zero Day pour plusieurs appareils. Les vulnérabilités corrigées sont CVE-2024-44308 et CVE-2024-44309. Le premier permettait l'exécution de code arbitraire lors de la visite de certains sites Web malveillants, tandis que le second profitait de WebKit pour déclencher une attaque de type cross-site scripting (XSS).
Apple a divulgué les deux vulnérabilités, révélant qu'elles «peut avoir été activement exploité sur les systèmes Mac basés sur Intel.» Cependant, la société n'a pas fourni de détails spécifiques sur les méthodes d'exploitation ou les cibles des attaques. Le correctif est désormais disponible sur plusieurs appareils. Les versions logicielles qui l'incluent sont iOS 18.1.1/iPadOS 18.1.1, iOS 17.7.2/iPadOS 17.7.2, macOS Sequoia 15.1.1 et visionOS 2.1.1. Safari reçoit également la mise à jour 18.1.1 avec le correctif.
Selon le rapport, Clément Lecigne et Benoît Sevens, membres du Threat Analysis Group (TAG) de Google, auraient détecté les vulnérabilités. Cela suggère que les attaquants auraient pu les utiliser pour tenter de pénétrer dans des cibles de haut niveau. Cela inclut des hommes politiques ou des représentants éminents liés à la sécurité nationale. Il est possible que des gouvernements rivaux aient financé de telles attaques.
Ce n’est pas la première vulnérabilité zero-day qu’Apple doit corriger cette année. L’entreprise a résolu un total de quatre incidents logiciels zero-day au cours de l’année 2024.
