La société a diffusé hier soir une série de mises à jour pour ses plateformes. Sont ainsi disponibles iOS et iPadOS 18.1.1, iOS et iPadOS 17.7.2, macOS Sequoia 15.1.1, visionOS 2.1.1 et Safari 18.1.1 pour macOS Ventura et Sonoma.

Toutes ces mises à jour ont en commun la correction de deux failles de sécurité déjà exploitées. La première, CVE-2024-44308, réside dans JavaScriptCore. Elle peut être exploitée par le traitement d’un contenu web malveillant et entrainer une exécution de code arbitraire à distance.

La deuxième faille, CVE-2024-44309, concerne WebKit. Via un contenu web spécialement conçu, il est possible d’obtenir une attaque de type cross site scripting (XSS). Selon Apple, il s’agissait d’un problème lié à des cookies.

Les deux failles ont été corrigées et leur installation rapide est recommandée. Selon Apple, ces deux brèches sont exploitées, des rapports ayant indiqué notamment leur utilisation contre des Mac basés sur Intel. S’agissant de bugs logiciels dans le traitement du contenu web, ces failles peuvent cependant toucher l’ensemble des appareils concernés par les mises à jour.

Clément Lecigne et Benoît Sevens, du Threat Analysis Group (TGA) de Google, ont été crédités pour la découverte de ces failles.