À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par identifiant CVE dans la mesure du possible.
Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
iOS 16.7.8 et iPadOS 16.7.8
Publié le 13 mai 2024
Core Data
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app peut accéder à des données sensibles de l’utilisateur
Description : un problème a été résolu par une meilleure validation des variables d’environnement.
CVE-2024-27805 : Kirin (@Pwnrin) et 小来来 (@Smi1eSEC)
Entrée ajoutée le 10 juin 2024
CoreMedia
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app pourrait exécuter un code arbitraire avec des privilèges liés au noyau.
Description : le problème a été résolu par de meilleures vérifications.
CVE-2024-27817 : pattern-f (@pattern_F_) de l’Ant Security Light-Year Lab
Entrée ajoutée le 10 juin 2024
CoreMedia
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’un fichier peut entraîner l’arrêt inopiné d’apps ou l’exécution de code arbitraire.
Description : un problème d’écriture hors limites a été résolu par une meilleure validation des entrées.
CVE-2024-27831 : Amir Bazine et Karsten König de CrowdStrike Counter Adversary Operations
Entrée ajoutée le 10 juin 2024
Foundation
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app peut être en mesure d’accéder à des données sensibles de l’utilisateur.
Description : un problème de logique a été résolu par la réalisation de meilleures vérifications.
CVE-2024-27789 : Mickey Jin (@patch1t)
IOHIDFamily
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app ne disposant pas de privilèges peut être en mesure d’enregistrer les touches saisies dans d’autres apps, même dans celles utilisant le mode de saisie sécurisée.
Description : ce problème a été résolu par la réalisation de meilleures vérifications des autorisations.
CVE-2024-27799 : un chercheur anonyme
Entrée ajoutée le 10 juin 2024
Kernel
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un utilisateur peut être en mesure de provoquer la fermeture inattendue de l’app ou l’exécution arbitraire de code.
Description : le problème a été résolu par une meilleure gestion de la mémoire.
CVE-2024-27818 : pattern-f (@pattern_F_) de l’Ant Security Light-Year Lab
Entrée ajoutée le 10 juin 2024
Kernel
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un attaquant étant déjà parvenu à exécuter du code au niveau du noyau peut être en mesure de contourner les mesures de protection appliquées à la mémoire de ce dernier.
Description : le problème a été résolu par une meilleure gestion de la mémoire.
CVE-2024-27840 : un chercheur anonyme
Entrée ajoutée le 10 juin 2024
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un attaquant bénéficiant d’un accès physique peut être en mesure de divulguer des identifiants de compte Mail.
Description : un problème d’authentification a été résolu par une meilleure gestion des états.
CVE-2024-23251 : Gil Pedersen
Entrée ajoutée le 10 juin 2024
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un e-mail malveillant peut être en mesure de démarrer des appels FaceTime sans l’autorisation de l’utilisateur.
Description : le problème a été résolu par de meilleures vérifications.
CVE-2024-23282 : Dohyun Lee (@l33d0hyun)
Entrée ajoutée le 10 juin 2024
Messages
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’un malveillant peut entraîner un déni de service.
Description : ce problème a été résolu par la suppression du code vulnérable.
CVE-2024-27800 : Daniel Zajork et Joshua Zajork
Entrée ajoutée le 10 juin 2024
Metal
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps ou l’exécution de code arbitraire.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2024-27802 : Meysam Firouzi (@R00tkitsmm) en collaboration avec le programme Zero Day Initiative de Trend Micro
Entrée ajoutée le 10 juin 2024
RTKit
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un attaquant disposant de privilèges arbitraires en lecture et écriture du noyau peut être en mesure de contourner les protections de la mémoire du noyau. Apple a conscience que cette faille a pu être exploitée.
Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.
CVE-2024-23296
Shortcuts
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un raccourci peut utiliser des données sensibles avec certaines actions sans demander l’approbation de l’utilisateur.
Description : le problème a été résolu par de meilleures vérifications.
CVE-2024-27855 : un chercheur anonyme
Entrée ajoutée le 10 juin 2024
Spotlight
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app peut accéder à des données sensibles de l’utilisateur
Description : ce problème a été résolu par un meilleur nettoyage de l’environnement.
CVE-2024-27806
Entrée ajoutée le 10 juin 2024
Symptom Framework
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app peut être en mesure de contourner la consignation dans le Rapport de confidentialité des apps.
Description : le problème a été résolu par de meilleures vérifications.
CVE-2024-27807 : Romy R.
Entrée ajoutée le 10 juin 2024
Sync Services
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app pourrait contourner les préférences de confidentialité.
Description : ce problème a été résolu par la réalisation de meilleures vérifications
CVE-2024-27847 : Mickey Jin (@patch1t)
Entrée ajoutée le 10 juin 2024
Voice Control
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un utilisateur peut être en mesure d’augmenter les privilèges.
Description : le problème a été résolu par de meilleures vérifications.
CVE-2024-27796 : ajajfxhj
Entrée ajoutée le 10 juin 2024
WebKit
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une page web malveillante peut être en mesure de créer une représentation unique de l’utilisateur.
Description : ce problème a été résolu par l’ajout d’une logique supplémentaire.
WebKit Bugzilla : 262337
CVE-2024-27838 : Emilio Cobos de Mozilla
Entrée ajoutée le 10 juin 2024
WebKit
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.
WebKit Bugzilla : 271491
CVE-2024-27833 : Manfred Paul (@_manfp) en collaboration avec le programme Zero Day Initiative de Trend Micro
Entrée ajoutée le 10 juin 2024
WebKit
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un attaquant malveillant disposant de privilèges arbitraires en lecture et écriture peut être en mesure de contourner la fonctionnalité d’authentification de pointeurs.
Description : le problème a été résolu par de meilleures vérifications.
WebKit Bugzilla : 272750
CVE-2024-27834 : Manfred Paul (@_manfp) en collaboration avec le programme Zero Day Initiative de Trend Micro
Entrée ajoutée le 10 juin 2024
WebKit Web Inspector
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’un contenu web peut entraîner l’exécution arbitraire de code.
Description : le problème a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla : 270139
CVE-2024-27820 : Jeff Johnson de underpassapp.com
Entrée ajoutée le 10 juin 2024