Apple recommande aux détenteurs d'iPhone et d'iPad de mettre rapidement à jour leurs appareils afin de corriher une vulnérabilité de type zero-day exploitable à distance.
Celle-ci cible principalement les anciens appareils de la marque à la pomme, à savoir l'iPhone 5S, l'iPhone 6, l'iPhone 6 Plus, l'iPad Air, l'iPad mini 2, l'iPad mini 3 et l’iPod touch de 6e génération. Elle a été découverte par Clément Lecigne, du groupe d'analyse des menaces (TAG) de Google.
Une vulnérabilité déjà repérée en novembre
Baptisé CVE-2022-42856, cette vulnérabilité permet aux cybercriminels qui l'exploitent d'inciter leurs cibles à visiter un site web malveillant qu'ils contrôlent. Ensuite, l'exécution d'un code arbitraire leur permet d'exécuter des commandes sur le système d'exploitation sous-jacent, de déployer des logiciels malveillants ou espions, ou de déclencher d'autres activités malintentionnées.
Cette faille a déjà été corrigée par Apple le 30 novembre 2022, dans le cadre de la mise à jour iOS 16.1.2, puis un correctif a été étendu à un ensemble plus large d'appareils avec iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 et Safari 16.2. Malgré ces mises à jour, la vulnérabilité est encore exploitée.
Si ce n'est pas fait, mettez également à jour vos appareils Apple récents
Dans un avis publié ce lundi, la firme de Cupertino indique que « ce problème pourrait avoir été activement exploité contre des versions d'iOS antérieures à iOS 15.1 ». En conséquence, elle préconise aux détenteurs des appareils cités plus haut d'effectuer la dernière mise à jour iOS 12.5.7.
Apple a admis avoir été mise au courant d'une exploitation active de la faille zero-day, mais n'a pas encore publié d'informations concernant ces attaques. Cette mise à jour intervient alors que l'entreprise a également déployé iOS 16.3, iPadOS 16.3, macOS Ventura 13.2, watchOS 9.3 et Safari 16.3 pour corriger une longue liste de failles de sécurité.
Sources : Bleeping Computer, Apple