Apple a récemment détaillé le contenu de sécurité pour les mises à jour iOS 16.7.15, iOS 15.8.7, iPadOS 16.7.15, et iPadOS 15.8.7, confirmant que ces mises à jour remédient à la vulnérabilité Coruna, révélée la semaine dernière par Google et iVerify.
Apple réagit rapidement face à l’exploit Coruna
Il y a quelques jours, Google et iVerify ont publié des informations sur Coruna, un exploit qui combine plusieurs vulnérabilités ciblant les iPhones fonctionnant sur d’anciennes versions d’iOS. En résumé, cet exploit utilise cinq chaînes d’exploit iOS et 23 vulnérabilités, touchant les appareils tournant de iOS 13 à iOS 17.2.1.
Plus tôt dans la journée, Apple a déployé les mises à jour iOS 16.7.15, iOS 15.8.7, iPadOS 16.7.15 et iPadOS 15.8.7, indiquant seulement que ces mises à jour contiennent des « correctifs de sécurité importants ». À présent, Apple a publié les détails de sécurité des mises à jour, confirmant qu’elles corrigent des vulnérabilités du noyau et de WebKit liées à l’exploit Coruna, en s’assurant de la protection sur les appareils qui ne peuvent pas être mis à jour vers la dernière version d’iOS.
Détails des correctifs de sécurité
Voici le contenu de sécurité complet pour iOS 15.8.7 et iPadOS 15.8.7 :
- KERNEL
Disponible pour : iPhone 6s (tous modèles), iPhone 7 (tous modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération) et iPod touch (7ème génération)
Impact : une application peut exécuter du code arbitraire avec des privilèges de noyau. Cette correction liée à l’exploit Coruna a été intégrée dans iOS 17 le 18 septembre 2023. Cette mise à jour apporte ce correctif à des appareils qui ne peuvent pas être mis à jour vers la version la plus récente d’iOS.
Description : un problème de use-after-free a été corrigé grâce à une meilleure gestion de la mémoire. - WEBKIT
Disponible pour : iPhone 6s (tous modèles), iPhone 7 (tous modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération) et iPod touch (7ème génération)
Impact : le traitement d’un contenu web malveillant peut entraîner l’exécution de code arbitraire. Cette correction liée à l’exploit Coruna a été livrée dans iOS 17.3 le 22 janvier 2024. Cette mise à jour amène ce correctif à des appareils qui ne peuvent pas être mis à jour vers la dernière version d’iOS.
Description : un problème de confusion de type a été corrigé grâce à des vérifications améliorées. - WEBKIT
Disponible pour : iPhone 6s (tous modèles), iPhone 7 (tous modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération) et iPod touch (7ème génération)
Impact : le traitement d’un contenu web malveillant peut entraîner une corruption de la mémoire. Cette correction liée à l’exploit Coruna a été intégrée dans iOS 16.6 le 24 juillet 2023. Cette mise à jour apporte ce correctif à des appareils qui ne peuvent pas être mis à jour vers la dernière version d’iOS.
Description : un problème de use-after-free a été corrigé avec une gestion de mémoire améliorée. - WEBKIT
Disponible pour : iPhone 6s (tous modèles), iPhone 7 (tous modèles), iPhone SE (1ère génération), iPad Air 2, iPad mini (4ème génération) et iPod touch (7ème génération)
Impact : le traitement de contenu web malveillant peut entraîner une corruption de la mémoire. Ce correctif lié à l’exploit Coruna a été livré dans iOS 17.2 le 11 décembre 2023. Cette mise à jour apporte ce correctif à des appareils qui ne peuvent pas être mis à jour vers la dernière version d’iOS.
Description : le problème a été corrigé grâce à une gestion améliorée de la mémoire.
Pour en savoir plus sur les mises à jour de sécurité d’Apple, il est conseillé de vérifier si vos appareils plus anciens sont à jour.
