Dans une récente mise à jour, Apple a divulgué deux vulnérabilités critiques. Identifiées comme CVE-2024-23225 et CVE-2024-23296. Qui ont attiré l’attention du monde de la cybersécurité en raison de leur capacité à contourner les protections de la mémoire du noyau. Ces vulnérabilités représentent les deuxième et troisième failles zero-day que la société a découvertes et corrigées au cours de cette année.
Les deux failles, qui affectent une gamme étendue de produits Apple. Incluent les iPhone XS et modèles ultérieurs, ainsi que plusieurs générations d’iPad Pro, iPad Air et iPad mini :
- iPhone XS et modèles ultérieurs.
- iPad Pro 12,9 pouces de 2e génération et modèles ultérieurs.
- iPad Pro 10,5 pouces.
- iPad Pro 11 pouces de 1ère génération et modèles ultérieurs.
- iPad Air de 3e génération et modèles ultérieurs.
- iPad de 6e génération et modèles ultérieurs.
- iPad mini de 5e génération et modèles ultérieurs.
La vulnérabilité CVE-2024-23225 concerne un problème de corruption de la mémoire au niveau du noyau. Permettant potentiellement à un attaquant de contourner les protections de sa mémoire.
D’autre part, CVE-2024-23296 affecte RTKit. Un système d’exploitation présent dans la majorité des puces, périphériques et dispositifs embarqués d’Apple, avec une description identique concernant les risques.
Lire aussi: Apple : une mise à jour urgente est recommandée
Mises à jour et recommandations
Apple a inclus les correctifs pour ces vulnérabilités dans sa dernière mise à jour de sécurité pour iOS 17.4 et iPadOS 17.4. L’entreprise n’a pas fourni plus de détails sur l’origine des vulnérabilités ni crédité des chercheurs spécifiques. Indiquant que les failles « ont peut-être été exploitées » sans plus de précisions.
Cette déclaration laisse supposer une possible enquête en cours. Kaspersky, le géant de l’antivirus, a souligné que la capacité de ces failles à contourner les protections de la mémoire du noyau pourrait directement mener à une escalade de privilèges et a recommandé à tous les utilisateurs d’iOS de mettre à jour leurs appareils le plus rapidement possible.
Ce n’est pas la première fois qu’Apple doit faire face à des vulnérabilités zero-day. Plus tôt dans l’année, l’entreprise avait déjà corrigé CVE-2024-23222. Une vulnérabilité affectant WebKit et permettant l’exécution de code arbitraire si du contenu web malveillant était traité. Apple a également révélé plusieurs autres failles zero-day au cours des dernières années, certaines ayant été liées à des exploits utilisés par l’industrie du logiciel espion commercial.
La découverte et la divulgation de ces vulnérabilités mettent en lumière les défis continus auxquels Apple doit faire face pour sécuriser ses appareils contre des attaques de plus en plus sophistiquées. Cela souligne également l’importance pour les utilisateurs de rester vigilants et de mettre à jour leurs appareils régulièrement pour se protéger contre de telles menaces.
Pour les utilisateurs concernés, il est impératif de suivre les recommandations d’Apple et d’installer les mises à jour proposées sans délai. Afin de minimiser les risques associés à ces vulnérabilités potentiellement exploitées.