Les pirates exploitent des failles zero-day dans iOS et macOS. Mettez à jour !

Apple déploie des correctifs pour plusieurs failles de sécurité qui seraient activement exploitées par les cybercriminels. Le déploiement coïncide avec le lancement d'iOS 16, la dernière version du système d'exploitation de l'iPhone.

Au total, sept mises à jour de sécurité sont désormais disponibles pour les clients Apple, non seulement pour les utilisateurs de Mac et d'iPhone, mais également pour les propriétaires d'Apple TV et d'Apple Watch, ainsi que pour les fans du navigateur Safari d'Apple.

Correctifs de sécurité à tous les niveaux

tvOS 16 et watchOS 9 sont désormais disponibles pour les fans du lecteur multimédia et de la montre connectée d'Apple. Le côté sécurité, cependant, reste un mystère, Apple promettant plus d'informations "bientôt disponibles".

Safari 16 est désormais disponible avec plusieurs nouvelles fonctionnalités ainsi que quatre améliorations de sécurité. Quatre vulnérabilités sont corrigées, dont trois dans le moteur de rendu WebKit et une dans le module Extensions. Bien qu'aucun ne soit marqué critique ou activement exploité, les utilisateurs de Safari doivent toujours passer à la nouvelle version pour garder l'esprit tranquille.

Plus remarquable, une faille critique du noyau est corrigée à la fois dans macOS et iOS. Un attaquant pouvait exploiter la vulnérabilité, identifiée comme CVE-2022-32917, pour "exécuter du code arbitraire avec les privilèges du noyau".

"Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité", prévient le géant technologique de Cupertino.

La société garde naturellement les détails techniques pour donner aux utilisateurs une chance de se mettre à jour avant que des pirates plus opportunistes n'essaient d'exploiter cette vulnérabilité zero-day.

Cette faille particulière est corrigée côté ordinateur dans macOS Big Sur 11.7 et macOS Monterey 12.6, ainsi que côté mobile avec iOS 15.7 et iPadOS 15.7.

Deux vulnérabilités zero-days corrigées dans Big Sur

Il est important de noter que macOS Big Sur, le système d'exploitation précédent utilisé par la grande majorité des propriétaires de Mac, souffre d'une deuxième faille zero-day qui serait également activement exploitée.

Suivie sous le nom de CVE-2022-32894, la faille est pratiquement identique à celle ci-dessus, en ce sens qu'un attaquant peut l'exploiter pour "exécuter du code arbitraire avec les privilèges du noyau".

"Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité", prévient à nouveau la société, précisant que les utilisateurs de Big Sur doivent immédiatement installer la mise à jour.

Mise à niveau vers iOS 16

Quant à iOS 16, le tout nouvel iPhone OS inclut ses propres nouveaux correctifs de sécurité et de confidentialité, ainsi que les correctifs précédemment mentionnés inclus dans les anciennes versions d'iOS.

Si vous possédez un iPhone et/ou un Mac, donnez la priorité à ces correctifs. Bien que rares, les attaques exploitant les zero-days dans les produits Apple peuvent avoir de graves conséquences.

Un article récent de Bitdefender sur les iDevices obsolètes conclut que les correctifs de sécurité sont devenus essentiels ces dernières années, car les menaces de logiciels espions se retrouvent de plus en plus sur les iPhone vulnérables.

Les clients Apple doivent envisager de migrer vers la dernière version d'iOS éligible pour leur appareil, ou de mettre à niveau leur matériel, pour bénéficier d'un support officiel.