Une faille critique découverte dans l'Apple Webkit a été corrigée. Cette 10e vulnérabilité « zero-day » identifiée chez Apple depuis le début de l'année permet une potentielle prise de contrôle de nombreux appareils de la marque. L'installation des dernières révisions d'iOS, Safari, macOS et tvOS est plus que recommandée.
Dévoilée officiellement dans des bulletins de sécurité partagés en fin de semaine dernière pour iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 et macOS Ventura 13.1, cette nouvelle faille de sécurité avait été découverte il y a quelques semaines par Clément Lecigne, du groupe d'analyse des menaces de Google. Comme l'explique BleepingComputers, elle permet concrètement à un contenu web malveillant d'exécuter du code sur un appareil vulnérable… le tout en exploitant une lacune de Webkit.
Une faille déjà largement exploitée ?
Avec cette possibilité d'exécuter du code sur une machine cible, le contenu web malveillant (un simple site internet par exemple) peut, dans certains cas, accéder à des commandes directement dans le système d'exploitation, mais aussi déployer des logiciels malveillants ou espions… entre autres.
Et en l'occurrence, cette faille, baptisée CVE-2022-42856, ne serait pas restée intouchée par les pirates. De l'aveu même d'Apple, elle pourrait même « avoir été activement exploitée » ces derniers mois. La menace mérite donc d'être prise avec sérieux.
Certains appareils anciens vulnérables
Notons qu'Apple ne donne toutefois aucun détail sur les acteurs qui auraient d'ores et déjà pu exploiter cette vulnérabilité. On ignore par ailleurs, quelles sont les modalités d'attaques exactes permettant d'exploiter la faille.
Maintenant qu'elle est officielle et a priori corrigée, il est néanmoins possible qu'Apple ou Clément Lecigne finissent par en dire plus. Cette transmission d'informations à rebours est habituelle en matière de sécurité informatique, l'idée étant de donner le moins de précisions possible à d'éventuels utilisateurs malveillants avant que la faille ne soit comblée.
Dans le cas présent, c'est chose faite, Apple ayant corrigé ladite vulnérabilité en améliorant la gestion des statuts en priorité sur les appareils suivants : iPhone 6s (tous modèles), iPhone 7 (tous modèles), iPhone SE (de 1re génération), iPad Pro (tous modèles), iPad Air 2 et modèles ultérieurs, iPad 5 et versions ultérieures, iPad mini 4 ou plus récents, et iPod touch (de 7e génération).
Source : BleepingComputers
