Le groupe à la pomme affirme que ces failles « auraient pu être activement exploitées sur des systèmes Mac équipés de processeurs Intel ».
Pour la quatrième fois de l’année, Apple a publié mardi 19 novembre des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités zero day, c’est-à-dire inconnues au moment de leur exploitation.
Un acteur étatique derrière l’attaque ?
Le groupe à la pomme reconnaît que ces deux vulnérabilités « auraient pu être activement exploitées sur des systèmes Mac équipés de processeurs Intel« . Il recommande donc à tous les utilisateurs de mettre à jour le système d’exploitation macOS. Parallèlement, des mises à jour ont également été publiées pour iOS, iPadOS et VisionOS.
Les deux failles de sécurité ont été découvertes par deux chercheurs du Threat Analysis Group de Google, connu pour lutter contre les attaques menées ou financées par des acteurs étatiques. Cela laisse donc penser qu’un Etat pourrait être derrière ces attaques. Ni Apple, ni Google n’ont communiqué de détails sur une potentielle exploitation par des acteurs malveillants.
Scripts malveillants
Les vulnérabilités ont touché WebKit et JavaScriptCore, deux technologies au cœur du navigateur Internet Safari. Elles permettaient aux attaquants d’exécuter du code à distance via du contenu web malveillant. Et de lancer des attaques de type cross-site scripting, qui permettaient à des scripts malveillants d’accéder à des informations sensibles conservées par le navigateur.
Depuis le début de l’année, Apple a corrigé six failles zero day. Un chiffre en baisse par rapport aux 20 correctifs réalisés en 2023, rappelle le site spécialisé Bleeping Computer.
