L’entreprise a publié hier soir des mises à jour pour l’ensemble de ses plateformes. Elles corrigent plusieurs vulnérabilités, dont une critique, déjà exploitée.
Quand Apple lance des mises à jour mineures ne contenant que des correctifs de sécurité, c’est qu’il ne faut pas attendre. iOS, iPadOS, macOS, watchOS et Safari ont tous reçu une nouvelle version hier soir, corrigeant deux ou trois failles selon les cas.
Dans iOS et iPad 16.3.1, on trouve deux correctifs. La première faille, CVE-2023-23514, peut permettre l’exécution de code arbitraire avec des privilèges noyau. Elle a été découverte par Xinru Chi du Pango Lab et Ned Williamson du Google Project Zero. Le niveau de risque est considéré comme faible. Mais c’est surtout la deuxième qui retient l’attention.
Estampillée CVE-2023-23529 et découverte par un chercheur ou une chercheuse anonyme, elle peut permettre l’exécution d’un code arbitraire en cas de lecture d’une page web spécialement conçue. De ce fait, la faille est critique, car l’utilisateur n’a rien à faire d’autre que de visiter un site malveillant. Facteur aggravant, cette vulnérabilité est déjà exploitée.
Cette brèche est présente sur toutes les plateformes ainsi que dans Safari. Il est donc conseillé d’installer le correctif au plus vite, car l’exploitation de la brèche peut passer par des mails d’hameçonnage et autres techniques pour diffuser des liens.
Sur macOS, la version 13.2.1 colmate une vulnérabilité supplémentaire. Nommée CVE-2023-23522, elle réside dans l’application Raccourcis et peut permettre la visibilité de certaines informations de l’utilisateur. La correction passe par une meilleure gestion des fichiers temporaires. Le risque est considéré comme faible.
Les mises à jour sont relativement légères sur iOS (entre 200 et 300 Mo), mais celle de macOS est grimpée jusqu’à presque 2 Go sur une machine qui était à jour. Comme toujours, l’installation prend plus ou moins de temps selon les performances de l’appareil et un redémarrage sera requis.
