À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par identifiant CVE dans la mesure du possible.
Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
iOS 16.7.3 et iPadOS 16.7.3
Publié le 11 décembre 2023
Accounts
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app peut accéder à des données sensibles de l’utilisateur
Description : un problème de confidentialité a été résolu par l’amélioration du masquage des données privées pour les entrées de journal.
CVE-2023-42919 : Kirin (@Pwnrin)
Assets
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app peut être en mesure d’apporter des modifications à des sections protégées du système de fichiers.
Description : un problème a été résolu par une meilleure gestion des fichiers temporaires.
CVE-2023-42896 : Mickey Jin (@patch1t)
Entrée ajoutée le 22 mars 2024
AVEVideoEncoder
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app pourrait divulguer le contenu de la mémoire du noyau.
Description : ce problème a été résolu par l’amélioration de la rédaction des informations sensibles.
CVE-2023-42884 : un chercheur anonyme
CallKit
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : un attaquant distant peut être à l’origine d’un déni de service.
Description : ce problème a été résolu par la réalisation de meilleures vérifications
CVE-2023-42962 : Aymane Chabat
Entrée ajoutée le 22 mars 2024
Find My
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app pourrait lire des informations de localisation confidentielles.
Description : ce problème a été résolu par l’amélioration de la rédaction des informations sensibles.
CVE-2023-42922 : Wojciech Regula de SecuRing (wojciechregula.blog)
ImageIO
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’une image peut entraîner l’exécution arbitraire de code.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2023-42899 : Meysam Firouzi @R00tkitSMM et Junsung Lee
IOUSBDeviceFamily
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app pourrait exécuter un code arbitraire avec des privilèges liés au noyau.
Description : un problème de concurrence a été résolu par une meilleure gestion des états.
CVE-2023-42974 : Pan ZhenPeng (@Peterpan0927) de STAR Labs SG Pte. Ltd.
Entrée ajoutée le 22 mars 2024
Kernel
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app pourrait sortir de sa sandbox.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
CVE-2023-42914 : Eloi Benoist-Vanderbeken (@elvanderb) de Synacktiv (@Synacktiv)
Libsystem
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : une app peut être en mesure d’accéder à des données utilisateur protégées.
Description : un problème d’autorisations a été résolu en supprimant le code vulnérable et en ajoutant des vérifications supplémentaires.
CVE-2023-42893
Entrée ajoutée le 22 mars 2024
WebKit
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : ce problème a été résolu par une meilleure gestion de la mémoire.
WebKit Bugzilla: 263349
CVE-2023-42883 : équipe Offensive Security de Zoom
WebKit
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’un contenu web peut entraîner une exécution arbitraire de code. Apple a conscience que cette faille de sécurité a pu être exploitée dans les versions d’iOS antérieures à la version 16.7.1.
Description : une vulnérabilité liée à la corruption de la mémoire a été résolue par un meilleur verrouillage.
WebKit Bugzilla : 265067
CVE-2023-42917 : Clément Lecigne du Threat Analysis Group de Google
WebKit
Disponible pour : iPhone 8, iPhone 8 Plus, iPhone X, iPad (5e génération), iPad Pro 9,7 pouces et iPad Pro 12,9 pouces (1re génération)
Conséquence : le traitement d’un contenu web peut entraîner la divulgation d’informations sensibles. Apple a conscience que cette faille de sécurité a pu être exploitée dans les versions d’iOS antérieures à la version 16.7.1.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
WebKit Bugzilla : 265041
CVE-2023-42916 : Clément Lecigne du Threat Analysis Group de Google