Des chercheurs de Google signalent un zéro jour critique dans Chrome et tous les systèmes d’exploitation Apple – Ars Technica

Les chercheurs du groupe d’analyse des menaces de Google ont été plus occupés que jamais, leurs découvertes ayant conduit à la divulgation de trois vulnérabilités à haut risque exploitées activement dans les systèmes d’exploitation d’Apple et le navigateur Chrome en 48 heures.

Apple jeudi Il a dit Il publiait des mises à jour de sécurité pour corriger deux vulnérabilités trouvées dans iOS, macOS et iPadOS. Les deux se trouvent dans WebKit, le moteur qui alimente Safari et un large éventail d’autres applications, notamment Apple Mail, l’App Store et tous les navigateurs fonctionnant sur iPhone et iPad. Bien que la mise à jour s’applique à toutes les versions prises en charge des systèmes d’exploitation d’Apple, la divulgation de jeudi fait état d’attaques internes exploitant des vulnérabilités ciblant les versions précédentes d’iOS.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité sur des versions d’iOS antérieures à iOS 16.7.1 », ont écrit les responsables d’Apple à propos des deux vulnérabilités, qui sont suivies sous les noms CVE-2023-42916 et CVE-2023-42917.

CVE-2023-42916 est une lecture hors limites qui permet aux pirates informatiques d’obtenir des informations sensibles lorsque des applications compatibles WebKit traitent du contenu spécialement conçu sur Internet. CVE-2023-42917 est une faille de corruption de mémoire qui amène les appareils vulnérables à exécuter du code malveillant lors du traitement du contenu généré par un pirate informatique d’une application WebKit. Apple a attribué à Clément Lecigne de TAG la découverte des deux vulnérabilités. Ni Apple ni Google n’ont fourni de détails sur les attaques zero-day.

Google mardi Il a dit Il publiait une mise à jour qui corrigeait sept vulnérabilités dans Chrome, dont Zeroday, ce qui signifie que Google en a eu connaissance après que les exploits étaient déjà disponibles. Google n’a fourni aucun détail supplémentaire concernant Day Zero.

Le bug, identifié comme CVE-2023-6345, provient d’un dépassement d’entier, une classe courante de vulnérabilités qui permet aux pirates informatiques d’exécuter du code malveillant lorsque les cibles traitent du contenu spécialement conçu. La vulnérabilité réside dans le composant Skia du navigateur. Google a remercié Benoît Sevens et Clément Lecigne de TAG pour avoir signalé la vulnérabilité.

Les mises à jour Apple et Google sont automatiquement envoyées aux appareils concernés. Les mises à jour sont installées lorsque les utilisateurs redémarrent leurs appareils ou redémarrent leur navigateur. Les utilisateurs sont susceptibles de recevoir des notifications si suffisamment de temps s’est écoulé sans redémarrage. Les utilisateurs iOS, macOS et iPadOS peuvent installer les mises à jour manuellement en accédant aux paramètres système et en sélectionnant l’onglet Général. Pour installer manuellement une mise à jour Chrome, sélectionnez les trois points verticaux en haut à droite de la fenêtre, puis choisissez Mettre à jour.