Apple annonce que les mises à jour iOS 16.6 sur iPhone, iPadOS 16.6 sur iPad et macOS 13.5 sur Mac viennent boucher deux failles de sécurité qui sont déjà exploitées par des hackers.

iOS 16 Logo

La première faille a pour identifiant CVE-2023-38606 et concerne le kernel, à savoir le noyau d’iOS. Une application peut être en mesure de modifier un état sensible du noyau, selon les dires d’Apple. Le groupe précise que les hackers s’attaquent tout particulièrement aux iPhone et iPad avec une version antérieure à iOS 15.7.1. Pour contrer cela, iOS 16.6 améliore la gestion générale. La faille a été découverte par Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko et Boris Larin qui travaillent pour l’antivirus Kaspersky.

La seconde faille touche cette fois WebKit, le moteur de rendu de Safari. Selon Apple, la vulnérabilité, qui a pour identifiant CVE-2023-37450, permet le traitement de contenu web pouvant conduire à l’exécution d’un code arbitraire. Le problème a été résolu en améliorant les contrôles. Le chercheur en sécurité qui a trouvé la faille préfère rester anonyme.

iOS 16.6 et macOS 13.5 sont en tout cas d’importantes mises à jour pour la sécurité. Sur iPhone et iPad, pas moins de 25 failles de sécurité ont été bouchées. Sur Mac, on en retrouve 42. Autant dire que l’installation est importante dans les deux cas.

À noter par ailleurs que watchOS 9.6 bouche 18 failles de sécurité (dont les deux exploitées par les hackers). Quant à tvOS 16.6 sur l’Apple TV, la mise à jour bouche 13 failles (dont les deux exploitées par les hackers).