Safari 15.6.1 : Apple a corrigé une faille zero-day utilisée dans des attaques
Apple a publié une nouvelle version de son navigateur Safari pour protéger ses utilisateurs d'une faille de sécurité zero-day exploitée dans le cadre de cyberattaques. Safari 15.6.1 est disponible sur macOS Big Sur et Catalina.
Cette faille de sécurité est associée à la référence CVE-2022-32893 et elle est située dans le composant WebKit du navigateur. En exploitant cette vulnérabilité, un attaquant peut exécuter du code à distance sur un appareil vulnérable. Dans son bulletin de sécurité associé à cette vulnérabilité, Apple précise : "Le traitement de contenu web malicieux peut conduire à l'exécution de code arbitraire. Apple a connaissance d'un rapport indiquant que ce problème pourrait avoir été activement exploité." - Sans fournir réellement de détails sur les attaques identifiées, et sur le contexte de ces attaques.
Cette vulnérabilité, remontée à Apple par un chercheur en sécurité qui souhaite rester anonyme, permet une corruption de la mémoire, ce qui peut mener à un crash de l'application, à la corruption de données, mais aussi, comme dans le cas présent, à une exécution de code à distance.
Ces derniers jours, Apple a mis en ligne plusieurs correctifs de sécurité, et cette vulnérabilité de type zero-day est la même que celle qui a été corrigée il y a quelques jours pour macOS Monterey, les iPhone et les iPad. Cette fois-ci, il s'agit d'une mise à jour pour macOS Big Sur et macOS Catalina comme indiqué dans le bulletin de sécurité.
