Apple a dévoilé les détails de sécurité pour iOS 16.7.15 et iPadOS 16.7.15, confirmant que ces mises à jour s’attaquent à la vulnérabilité Coruna, révélée la semaine dernière par Google et iVerify.
Pour résumer, l’exploit Coruna exploite une chaîne de cinq vulnérabilités, touchant les appareils fonctionnant sous iOS 13 à iOS 17.2.1. Dans la foulée, Apple a rapidement publié les mises à jour nécessaires, en précisant qu’elles contiennent des « corrections de sécurité importantes ».
Voici les détails de sécurité associés à ces mises à jour :
KERNEL
Disponible pour : iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération) et iPod touch (7ème génération).
Impact : Une application pourrait exécuter du code arbitraire avec des privilèges du noyau. Ce correctif, lié à l’exploit Coruna, a été intégré dans iOS 17 le 18 septembre 2023. Cette mise à jour permet d’appliquer ce correctif aux appareils qui ne peuvent pas passer à la version iOS la plus récente.
Description : Un problème de type use-after-free a été résolu avec une gestion de mémoire améliorée.
CVE-2023-41974 : Félix Poulin-Bélanger
WEBKIT
Disponible pour : iPhone 6s (tous les modèles), iPhone 7 (tous les modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération) et iPod touch (7ème génération).
Impact : Le traitement de contenus web malveillants peut entraîner l’exécution de code arbitraire. Ce correctif, lié à l’exploit Coruna, a été intégré dans iOS 17.3 le 22 janvier 2024, apportant des améliorations aux dispositifs non éligibles pour la dernière version d’iOS.
Description : Un problème de type confusion a été corrigé grâce à des vérifications améliorées.
WebKit Bugzilla : 267134
CVE-2024-23222
WEBKIT (suite)
Impact : Le traitement de contenus web malveillants peut entraîner une corruption de la mémoire. Ce correctif a été déployé dans iOS 16.6 le 24 juillet 2023 et est désormais accessible pour les anciens modèles.
Description : Un problème de type use-after-free a été résolu avec une meilleure gestion de la mémoire.
WebKit Bugzilla : 255951
CVE-2023-43000 : Apple
WEBKIT (final)
Impact : La même corruption de mémoire peut provenir d’un traitement de contenu web malveillant. Ce correctif, d’abord introduit dans iOS 17.2 le 11 décembre 2023, est également disponible pour les anciens appareils.
Description : Ce problème a été résolu avec une gestion améliorée de la mémoire.
WebKit Bugzilla : 260913
CVE-2023-43010 : Apple
Pour en savoir plus sur les mises à jour de sécurité d’Apple, il est conseillé de consulter la page dédiée. Si vous êtes en possession d’un ancien appareil qui ne peut pas fonctionner sous les dernières versions d’iOS et iPadOS, assurez-vous qu’il est bien à jour, car cela pourrait fortement renforcer votre sécurité en ligne.
