Apple vient de déployer d'urgence des correctifs pour colmater plusieurs failles critiques sur ses systèmes d'exploitation mobiles et desktop. Certaines ont même pu être exploitées avant d'être patchées, comme une faille zero day sur RTKit.
La prudence est de mise chez les utilisateurs d'Apple. Alors que la dernière version d'iOS, 17.5, vient de sortir, le géant californien a dû batailler en publiant en urgence ce lundi 13 mai 2024 une fournée de mises à jour de sécurité pour ses systèmes iOS, iPadOS et macOS. Dans le viseur d'Apple, plus d'une quinzaine de failles critiques, dont certaines ont déjà été exploitées par des pirates avant le déploiement du fameux Apple Patch Tuesday.
Parmi les failles les plus critiques, on retrouve CVE-2024-23296, qui touche le composant RTKit d'iOS. Ce bug de corruption mémoire a permis à des attaquants de contourner les protections du noyau pour s'infiltrer sur d'anciens modèles d'iPhone et d'iPad. De quoi inciter à la prudence et installer au plus vite ces patchs cruciaux.
La faille RTKit, une menace zero day sur iOS désormais colmatée
Qu'est-ce que RTKit, exactement ? Ce composant plutôt méconnu du grand public est un système d'exploitation en temps réel intégré qui tourne sur la majorité des produits Apple. Sa fonction : assurer des traitements de haute performance pour différents services comme le traitement audio, la gestion de la batterie ou la localisation.
Si RTKit permet d'optimiser certains traitements, son fonctionnement en fait aussi une cible de choix pour les pirates. Ils peuvent ainsi développer des exploits pour contourner les protections de la mémoire du noyau et s'infiltrer au cœur du système. C'est précisément ce qui s'est produit avec la faille CVE-2024-23296, qui avait pourtant été corrigée avec le Patch Tuesday de mars 2024.
Qualifié de zero day, ce bug de corruption mémoire dans RTKit a permis à des attaquants d'exploiter une faille inédite pour s'introduire sur les anciens modèles d'iPhone et d'iPad avant même qu'Apple n'ait pu la corriger. Aux yeux de la firme de Cupertino, ce bug « a potentiellement pu être exploité » sur les anciennes versions d'iOS et d'iPadOS.
Face à la menace, Apple a déployé en urgence les mises à jour iOS 16.7.8 et iPadOS 16.7.8 pour colmater cette brèche zero day critique. Le correctif apporte une validation d'entrée améliorée pour sécuriser RTKit. Il couvre les iPhone 8/8 Plus, l'iPhone X, les iPad de 5e génération ainsi que les iPad Pro 9,7 et 12,9 pouces de 1re génération.
Zero day, failles d'exécution de code : Apple au front contre les cybermenaces
Si la faille RTKit fait les gros titres du jour, elle n'est malheureusement pas un cas isolé. Depuis le début de l'année 2024, Apple a dû déployer d'autres correctifs pour corriger trois autres failles zero day exploitées sur iOS.
Début mars, la firme de Cupertino avait déjà dû prendre les devants en publiant des patchs d'urgence pour corriger deux autres failles zero day dans le moteur WebKit des navigateurs Safari et d'autres apps web, identifiées sous les noms CVE-2024-23225 et CVE-2024-23296.
Comme l'indiquent nos confrères de Security Week, près de 14 vulnérabilités supplémentaires et tout aussi préoccupantes sur iOS et iPadOS auraient pu exposer les utilisateurs à une exécution de code malveillant, à des risques pour leurs données privées et à des pannes système. Apple a dû corriger ces défauts au plus vite.
Sur macOS, ce ne sont pas moins de 15 failles critiques qui ont été résorbées par les derniers patchs. Ces brèches auraient pu être exploitées par des pirates pour exécuter du code malveillant de manière arbitraire, s'arroger des privilèges ou accéder à des données sensibles. L'une d'elles aurait pu affecter macOS Sonoma.
Au total, depuis janvier 2024, ce sont 5 failles zero day répertoriées qui ont été colmatées. Mieux vaut ne pas prendre de risques et appliquer cette salve de mises à jour de sécurité décisives pour conserver un système Apple à l'abri des dernières cybermenaces en date. Car il semble que désormais, Apple ne soit plus un sanctuaire contre les cyberattaques.
29 novembre 2024 à 15h14
Sources : Security Week, Apple mai 2024, Apple mars 2024