Apple publie des correctifs pour les failles activement exploitées dans iOS, macOS et Safari

22 juin 2023Ravie LakshmananVulnérabilité / Sécurité des terminaux

Apple a publié mercredi un une multitude de mises à jour pour iOS, iPadOS, macOS, watchOS et le navigateur Safari pour résoudre un ensemble de failles qui, selon lui, étaient activement exploitées dans la nature.

Cela inclut une paire de zero-days qui ont été militarisés dans une campagne de surveillance mobile appelée Operation Triangulation qui est active depuis 2019. L’acteur exact de la menace derrière la campagne n’est pas connu.

• CVE-2023-32434 – Une vulnérabilité de débordement d’entier dans le noyau qui pourrait être exploitée par une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau.

• CVE-2023-32435 – Une vulnérabilité de corruption de mémoire dans WebKit qui pourrait entraîner l’exécution de code arbitraire lors du traitement de contenu Web spécialement conçu.

Le fabricant d’iPhone a déclaré qu’il était conscient que les deux problèmes « pourraient avoir été activement exploités contre des versions d’iOS publiées avant iOS 15.7 », remerciant les chercheurs de Kaspersky Georgy Kucherin, Leonid Bezvershenko et Boris Larin de les avoir signalés.

L’avis intervient alors que le fournisseur russe de cybersécurité a disséqué l’implant de logiciel espion utilisé dans la campagne d’attaque sans clic ciblant les appareils iOS via iMessages portant une pièce jointe intégrée avec un exploit pour une vulnérabilité d’exécution de code à distance (RCE).

Le code d’exploitation est également conçu pour télécharger des composants supplémentaires afin d’obtenir des privilèges root sur l’appareil cible, après quoi la porte dérobée est déployée en mémoire et l’iMessage initial est supprimé pour dissimuler la piste d’infection.

L’implant sophistiqué, appelé TriangleDB, fonctionne uniquement dans la mémoire, ne laissant aucune trace de l’activité après un redémarrage de l’appareil. Il est également livré avec diverses capacités de collecte et de suivi des données.

Cela inclut « l’interaction avec le système de fichiers de l’appareil (y compris la création, la modification, l’exfiltration et la suppression de fichiers), la gestion des processus (inscription et résiliation), l’extraction des éléments du trousseau pour recueillir les informations d’identification de la victime et la surveillance de la géolocalisation de la victime, entre autres ».

Également patché par Apple est un troisième zero-day CVE-2023-32439qui a été signalé de manière anonyme et pourrait entraîner l’exécution de code arbitraire lors du traitement de contenu Web malveillant.

La faille activement exploitée, décrite comme un problème de confusion de type, a été résolue par des contrôles améliorés. Les mises à jour sont disponibles pour les plateformes suivantes –

• iOS 16.5.1 et iPadOS 16.5.1 – iPhone 8 et versions ultérieures, iPad Pro (tous les modèles), iPad Air 3e génération et versions ultérieures, iPad 5e génération et versions ultérieures et iPad mini 5e génération et versions ultérieures
• iOS 15.7.7 et iPadOS 15.7.7 – iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1re génération), iPad Air 2, iPad mini (4e génération) et iPod touch (7e génération)
• macOS Ventura 13.4.1, macOS Monterey 12.6.7et macOS Big Sur 11.7.8
• watchOS 9.5.2 – Apple Watch série 4 et versions ultérieures
• watchOS 8.8.1 – Apple Watch série 3, série 4, série 5, série 6, série 7 et SE, et
• Safari 16.5.1 – Mac exécutant macOS Monterey

Avec la dernière série de correctifs, Apple a résolu un total de neuf failles zero-day dans ses produits depuis le début de l’année.

En février, la société a corrigé une faille WebKit (CVE-2023-23529) qui pourrait conduire à l’exécution de code à distance. En avril, il a publié des mises à jour pour résoudre deux bogues (CVE-2023-28205 et CVE-2023-28206) qui permettaient l’exécution de code avec des privilèges élevés.

Par la suite, en mai, il a envoyé des correctifs pour trois autres vulnérabilités dans WebKit (CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373) qui pourraient permettre à un acteur malveillant d’échapper à la protection du bac à sable, d’accéder à des données sensibles et exécuter du code arbitraire.