Apple publie en urgence une mise à jour de sécurité pour macOS visant à corriger deux vulnérabilités zero-day. Elles affectent également iOS et iPadOS. Ces failles sont exploitées et visent principalement des appareils équipés de processeurs Intel, mais des correctifs ont été déployés pour l’ensemble des systèmes compatibles.
Deux failles identifiées dans Safari
Les vulnérabilités, découvertes par Clément Lecigne et Benoît Sevens, experts en cybersécurité au sein de l’équipe de Google dédiée aux menaces touchent le navigateur Safari via JavaScriptCore et WebKit. La première, référencée CVE-2024-44308, permettait l’exécution arbitraire de code à travers du contenu Web malveillant. Apple a renforcé les vérifications de JavaScriptCore pour corriger le problème.
La seconde faille, CVE-2024-44309, exploite une gestion défaillante des cookies dans WebKit, facilitant des attaques de type cross-site scripting via des pages Web malveillantes. Cette faiblesse a été corrigée par une amélioration de la gestion de l’état.
Les mises à jour corrigent les failles sur les Mac Intel toujours pris en charge par macOS Sequoia, incluant des modèles comme l’iMac Pro 2017, le Mac mini 2018, et le MacBook Air 2020. Les appareils plus anciens, utilisant macOS Ventura ou Sonoma, reçoivent une mise à jour spécifique pour Safari, qui passe à la version 18.1.1.
Patchs pour les iPhones et iPads
Des correctifs similaires sont intégrés aux mises à jour iOS 18.1.1 et iPadOS 18.1.1, couvrant les modèles d’iPhone XS et ultérieurs, ainsi que les générations récentes d’iPad. Les utilisateurs d’anciennes versions du système, comme iOS 17, peuvent également accéder aux patchs via les mises à jour de sécurité iOS 17.7.2 et iPadOS 17.7.2.
A noter que bien qu’il s’agisse de vulnérabilités zero-day, Apple n’a pas activé son système de réponses rapides de sécurité (RSR), pourtant conçu pour contrer rapidement ce type de menace. Ce choix pourrait être lié à des incidents survenus en 2023, où des mises à jour RSR ont provoqué des dysfonctionnements, forçant l’entreprise à suspendre leur déploiement.
Apple recommande aux utilisateurs de mettre à jour leurs appareils dès que possible afin de réduire les risques liés à ces vulnérabilités.
