Apple a publié jeudi des mises à jour de sécurité pour iOS, iPadOS, macOS et Safari afin de corriger une nouvelle faille WebKit qui, selon elle, pourrait avoir été activement exploitée dans la nature, ce qui en fait le troisième patch zero-day de la société depuis le début de l’année.
Répertorié sous le nom de CVE-2022-22620, le problème concerne une vulnérabilité de type « use-after-free » dans le composant WebKit qui équipe le navigateur web Safari et pourrait être exploité par un contenu web spécialement conçu pour obtenir une exécution de code arbitraire.
« Apple est au courant d’un rapport indiquant que ce problème a pu être activement exploité« , a déclaré la société dans une déclaration laconique reconnaissant les attaques sauvages exploitant la faille.
Le fabricant de l’iPhone a remercié un chercheur anonyme d’avoir découvert et signalé la faille, ajoutant qu’il avait remédié au problème en améliorant la gestion de la mémoire.
Les mises à jour sont disponibles pour l’iPhone 6s et les versions ultérieures, l’iPad Pro (tous les modèles), l’iPad Air 2 et les versions ultérieures, l’iPad de 5e génération et les versions ultérieures, l’iPad mini 4 et les versions ultérieures, l’iPod touch (7e génération), les appareils macOS fonctionnant sous Big Sur et macOS Catalina, ainsi qu’une mise à jour autonome pour Safari.
Ce dernier correctif porte à trois le nombre de correctifs de type « zero-day » publiés par Apple pour 2022, dont CVE-2022-22587 et CVE-2022-22594, qui auraient pu être exploités pour exécuter du code arbitraire et suivre l’activité en ligne des utilisateurs dans le navigateur web.