Apple corrige 2 failles zero-day utilisées dans des attaques contre les Mac avec un processeur Intel
Apple a publié des mises à jour de sécurité pour patcher deux failles de sécurité zero-day qui ont été exploitées dans des cyberattaques visant les Mac avec un processeur Intel. Faisons le point sur ces menaces.
Les nouveaux correctifs de sécurité d'Apple permettent de patcher les vulnérabilités suivantes : CVE-2024-44308 et CVE-2024-44309. Elles sont présentes dans deux composants de macOS Sequoia : JavaScriptCore pour la CVE-2024-44308 et WebKit pour la CVE-2024-44309. Ces deux failles de sécurité ont été découvertes par Clément Lecigne et Benoît Sevens, de l'équipe Google Threat Analysis Group.
La faille CVE-2024-44308 présente dans JavaScriptCore permet aux attaquants de réaliser une exécution de code à distance par l'intermédiaire d'un contenu web malveillant et spécialement conçu dans ce but. La seconde vulnérabilité (CVE-2024-44309) permet des attaques de type cross-site scripting (XSS).
"Apple a eu connaissance d'un rapport selon lequel ce problème pourrait avoir été activement exploité sur des systèmes Mac basés sur Intel.", peut-on lire dans le bulletin de sécurité d'Apple. Aucun détail n'a été communiqué sur les attaques observées.
Comment se protéger ?
Pour protéger votre Mac des vulnérabilités CVE-2024-44308 et CVE-2024-44309, vous devez installer la dernière version de macOS Sequoia, à savoir Sequoia 15.1.1. Il s'agit d'une nouvelle version uniquement orientée vers la sécurité et lancée trois semaines après macOS Sequoia 15.1, qui avait marqué l'introduction d'Apple Intelligence.
Les composants affectés par ces vulnérabilités sont aussi utilisés dans d'autres systèmes d'exploitation d'Apple. De ce fait, des mises à jour ont été publiées pour les autres appareils, dont les iPhone et les iPad. Voici la liste des nouvelles versions : iOS 17.7.2, iPadOS 17.7.2, iOS 18.1.1, iPadOS 18.1.1, et visionOS 2.1.1.
Avec ces deux vulnérabilités supplémentaires, Apple a corrigé un total de 6 failles zero-day depuis le début de l'année 2024. La première en janvier, suivie par deux zero-day en mars et une quatrième en mai, et désormais celles corrigées ce mois-ci.