Apple a déplacé onglet pour protéger les anciens modèles d'iPhone et iPad après la détection d'un kit d'exploitation qui a profité des pannes de moteur WebKit. La société a réintroduit des corrections déjà présentes dans les versions récentes du système d'exploitation et les a emballés dans des mises à jour pour les appareils qui ne peuvent pas installer la dernière version d'iOS.
La principale défaillance liée à cette série de correctifs apparaît dans la base de données de vulnérabilité CVE-2023-43010, et il est décrit comme une faiblesse dans WebKit qui pourrait causer la corruption de la mémoire en traitant le contenu Web manipulé à des fins malveillantes. Selon Apple, la solution passe par une meilleure gestion interne du moteur qui empêche les pages ou scripts spécialement conçus de déclencher ce comportement indésirable.
Initialement, la correction pour ce problème a été publiée dans des versions relativement nouvelles - y compris iOS 17.2, iPadOS 17.2 et macOS Sonoma 14.2 - et a maintenant été "backcover" aux précédentes branches du système pour atteindre des terminaux qui ne peuvent plus être mis à jour aux dernières éditions. Apple a détaillé ces patchs sur ses pages de support officiel, par exemple dans les notes de iOS 17.2 et iPadOS 17.2, Sonoma macOS 14.2 et Safari 17,2 ainsi que dans des avis spécifiques pour les anciennes versions iOS 15.8.7 et iPadOS 15.8.7 et iOS 16.7.15 et iPadOS 16.7.15.
La mise à jour qui affecte iOS 15.8.7 et iPadOS 15.8.7 ne se limite pas à CVE-2023-43010 : elle inclut des correctifs pour plusieurs vulnérabilités supplémentaires qui étaient exploitées dans le même cadre d'attaque. Il s'agit notamment : CVE-2023-43000, décrit comme une «utilisation après libre» sur WebKit; CVE-2023-41974, un problème d'utilisation après libre dans le noyau avec un potentiel d'exécution de code avec des privilèges de base; CVE-2024-23222, une vulnérabilité comme la confusion dans WebKit qui pourrait permettre l'exécution arbitraire de code en traitant le contenu Web malveillant. Concrètement, ces échecs permettent à un attaquant de les exploiter, d'exécuter du code sur l'appareil ou les privilèges d'échelle, ce qui en fait des vecteurs de compromis très sérieux.
Tout cela est lié à un ensemble d'exploits connus sous le nom de « Coruna », que les chercheurs en sécurité et les équipes d'intervention ont associés à une trousse qui réunit plusieurs chaînes d'attaque. Les rapports techniques - qui ont décrit plus de vingt exploits regroupés en plusieurs chaînes - montrent que le kit a été orienté vers les versions iOS de 13.0 à 17.2.1. Les groupes qui surveillent les logiciels malveillants et les exploits, comme iVerify, ont documenté l'utilisation de Coruna dans des campagnes qui fournissent un cadre d'attaque plus large (parfois appelé CryptoWaters), et les résultats ont été analysés publiquement par différents laboratoires.
Parallèlement, des déclarations journalistiques sont apparues sur l'origine éventuelle de certaines parties du code. Selon ces informations, les outils et les exploits utilisés par Coruna auraient pu être développés par des acteurs liés au secteur de la défense, puis filtrés ou vendus à des intermédiaires. Les noms cités dans la couverture ont inclus un ancien directeur d'un entrepreneur qui a été condamné pour des transactions avec des vulnérabilités; cependant, les pouvoirs dans ce domaine sont souvent complexes et il est courant pour les chercheurs de demander la prudence avant de tirer des conclusions définitives.
Une autre conséquence majeure du cas est la réutilisation des vulnérabilités : Coruna intègre des exploits qui mettent en évidence des échecs déjà observés dans les campagnes précédentes, comme certains qui ont été regroupés sous le label "Opération Triangulation" l'année précédente. Les experts en sécurité ont souligné que la coïncidence dans les vulnérabilités exploitées ne signifie pas nécessairement que le code a été copié. Une équipe ayant une expertise suffisante peut développer différents exploits qui indiquent la même faiblesse, et donc l'attribution nécessite des preuves techniques et contextuelles plus étendues que la simple réutilisation des échecs.
Au vu de cette image, le message principal pour les utilisateurs et les gestionnaires informatiques est simple: mettre à jour le logiciel si possible et appliquer les correctifs Apple a publié pour les versions supportées. Même lorsqu'un appareil ne peut pas recevoir la dernière itération du système, les mises à jour rétrocompatibles qu'Apple a publiées offrent une couche de défense critique contre ce type de menace. En outre, il est approprié de maintenir des habitudes de navigation prudentes, d'éviter d'ouvrir des liens ou des fichiers d'origine douteuse et de revoir les paramètres de sécurité du navigateur et du système.
La prolifération de kits tels que Coruna rappelle que la sécurité des appareils mobiles n'est plus seulement une question de patchs : c'est un écosystème où les acteurs ayant des incitations différentes sont en concurrence pour les exploits, où les découvertes techniques peuvent voyager entre les marchés et où la transparence de la recherche et la rapidité de l'atténuation marquent la différence entre un incident contrôlé et un écart massif. Pour ceux qui veulent approfondir les détails techniques des défaillances corrigées, les notes Apple et les bases de données publiques de vulnérabilité sont un bon point de départ et sont disponibles sur les pages de support et le NVD lié à cet article.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...