Avec la dernière série de mises à jour de sécurité, Apple a corrigé deux vulnérabilités WebKit zero-day qui « peuvent avoir été exploitées contre des versions d’iOS antérieures à iOS 16.7.1 ».
Tous deux affectent WebKit, le moteur de navigation développé par Apple et utilisé par le navigateur web Safari de la société et tous les navigateurs web sur iOS et iPadOS. CVE-2023-42916 peut conduire à la divulgation d’informations sensibles, tandis que CVE-2023-42917 permet l’exécution de code arbitraire.
Les vulnérabilités ont été signalées à Apple par le chercheur en sécurité Clément Lecigne, du Threat Analysis Group de Google.
Comme à son habitude, Apple n’a pas divulgué de détails sur les attaques dans lesquelles ces zero-day ont été exploités, mais nous savons que Google TAG découvre souvent des vulnérabilités zero-day utilisées pour diffuser des logiciels espions parrainés par l’État à des personnes ciblées.
Apple indique que des vulnérabilités ont été exploitées contre les versions d’iOS antérieures à 16.7.1, mais ne précise pas si iOS 16.7.1 et iOS 16.7.2 sont vulnérables.
Si c’est le cas, Apple devrait bientôt publier de nouvelles mises à jour de sécurité pour iOS 16.
