Apple a corrigé deux vulnérabilités tests menacant les systèmes macOS sur Intel
Des chercheurs de Google ont identifié des vulnérabilités tests dans les composants WebKit d’Apple, incitant la firme à recommander des mises à jour urgentes pour éviter les risques d’exploitation. La sécurité des systèmes d’exploitation d’Apple est en jeu, avec des menaces potentielles ciblant les appareils Intel.
Des chercheurs de Google ont découvert deux vulnérabilités dangereuses dans les systèmes d’exploitation d’Apple, spécifiquement dans les composants JavaScriptCore et WebKit. Ces problèmes de sécurité n’affectent que les systèmes basés sur Intel, bien que les mises à jour concernent toutes les plateformes informatiques d’Apple.
La première faille (CVE-2024-44308) touche le cadre JavaScriptCore qui fournit le moteur JavaScript inclus dans WebKit. Un contenu web malveillant pourrait entraîner une exécution de code arbitraire. Apple a signalé que des acteurs malveillants inconnus pourraient avoir exploité cette vulnérabilité sur des systèmes Mac Intel.
La seconde vulnérabilité (CVE-2024-44309) affecte le moteur de mise en page WebKit utilisé par Safari et plusieurs autres navigateurs web. Cette faille pourrait permettre à des hackers de développer une attaque par cross-site scripting visant des systèmes Mac Intel.
Les attaquants malintentionnés ne cessent de cibler WebKit, considérant qu’il représente la plus grande faiblesse des dispositifs Apple. Une fois que le navigateur web est compromis, les hackers peuvent étendre leur attaque plus profondément dans le système, à des fins variées, y compris l’armement d’iPhones, le vol de données utilisateurs et l’écoute des communications entre cibles vulnérables.
Clément Lecigne et Benoît Sevens du Groupe d’Analyse des Menaces de Google, une équipe de sécurité créée pour contrer des activités de piratage soutenues par des gouvernements, ont découvert ces failles. Les dispositifs Apple sont souvent une des cibles principales des plateformes de spyware commercial, connues pour exploiter des vulnérabilités inconnues à des fins commerciales pour leurs clients.
Apple n’a pas fourni de détails spécifiques sur les hackers cherchant à exploiter ces vulnérabilités. Les développeurs de Cupertino ont corrigé ces deux problèmes de zéro day en améliorant les vérifications JS dans JavaScriptCore et la gestion d’état dans WebKit.
Les correctifs pour JavaScriptCore et WebKit sont disponibles dans les dernières versions de macOS Sequoia (15.1.1), iOS (18.1.1) et iPadOS (18.1.1). Les corrections ont également été déployées sur iOS 17.7.2 et iPadOS 17.7.2. Des mises à jour de sécurité supplémentaires sont disponibles pour le navigateur Safari sur macOS Ventura, macOS Sonoma et le casque de réalité mixte Vision Pro (visionOS 2.1.1).
