iOS 18.1.1, iPadOS 18.1.1, macOS Sequoia 15.1.1 ou encore visionOS 2.1.1, mais aussi iOS 17.7.2, iPadOS 17.7.2, ainsi que le navigateur Safari 18.1 pour macOS Ventura et macOS Sonoma. Apple diffuse des mises à jour qui sont dédiées à la correction de vulnérabilités de sécurité.
Cette publication a lieu en urgence, dans la mesure où les deux failles à corriger font l'objet d'une exploitation active dans des attaques. Elles affectent JavaScriptCore et WebKit.
Dans son avis de sécurité, Apple évoque la possibilité d'une exécution de code arbitraire via le traitement d'un contenu web malveillant et une attaque de type cross site scripting (XSS ; injection de code indirecte) en rapport avec un problème de gestion des cookies.
Une petite idée de la nature des attaques
Référencées CVE-2024-44308 et CVE-2024-44309, les deux vulnérabilités 0-day ont été signalées à Apple par des chercheurs en sécurité du Threat Analysis Group (TAG) de Google. Faute de davantage de détails pour le moment, c'est déjà un indice sur la teneur de l'exploitation active.
Le TAG se donne essentiellement pour mission de suivre les acteurs impliqués dans des opérations d'information, des attaques soutenues par des gouvernements et des abus à motivation financière. Un intérêt particulier touche les activités de fournisseurs de logiciels espions commerciaux.
Un point notable est que les rapports d'exploitation concernent des ordinateurs Mac basés sur Intel. Cela étant, l'action correctrice ne doit pas être négligée pour l'ensemble des systèmes mentionnés par Apple.
Moins de vulnérabilités 0-day qu'en 2023
De plus amples informations au sujet des failles et des attaques viendront probablement ultérieurement, lorsque les patchs auront profité d'une application suffisante du côté des utilisateurs.
D'après les comptes tenus par BleepingComputer, Apple a corrigé six vulnérabilités 0-day depuis le début de cette année 2024. Actuellement, ce total est meilleur que celui de l'année dernière avec une vingtaine de vulnérabilités 0-day exploitées dans la nature.
