La société a confirmé lundi que ses appareils sont affectés par un défaut permettant l'exécution à distance de code malveillant via JavaScript basé sur le web. Cette vulnérabilité ouvre un vecteur d'attaque qui pourrait conduire au vol de données liées à la crypto auprès d'utilisateurs non avertis.
Selon la dernière divulgation de sécurité d'Apple, les utilisateurs doivent mettre à jour leur logiciel JavaScriptCore et WebKit vers les dernières versions pour corriger le problème. Découverte par des chercheurs du groupe d'analyse des menaces de Google, la vulnérabilité permet de « traiter du contenu web malicieusement conçu », entraînant des « attaques de script intersites ». Alarmant, Apple a également admis que le problème « pourrait avoir été activement exploité sur des systèmes Mac basés sur Intel ».
Apple a publié une divulgation de sécurité similaire pour les utilisateurs d'iPhone et d'iPad, déclarant que le défaut de JavaScriptCore permet le « traitement de contenu web malicieusement conçu, ce qui peut conduire à l'exécution de code arbitraire ». En d'autres termes, les hackers pourraient potentiellement prendre le contrôle des iPhones ou iPads des utilisateurs s'ils visitent des sites malveillants. Apple a assuré aux utilisateurs que les mises à jour devraient résoudre le problème.
Jeremiah O’Connor, CTO et co-fondateur de la société de cybersécurité crypto Trugard, a averti que « les attaquants pourraient accéder à des données sensibles comme des clés privées ou des mots de passe stockés dans les navigateurs », volant potentiellement des actifs crypto si les appareils des utilisateurs restent non corrigés.
Plus tôt en mars, des rapports ont émergé selon lesquels des chercheurs en sécurité avaient trouvé des vulnérabilités dans les puces de génération précédente d'Apple (séries M1, M2 et M3). Ces défauts pourraient permettre aux hackers d'extraire des clés cryptographiques.
La vulnérabilité exploite une technique appelée « préchargement », une fonctionnalité des puces M d'Apple conçue pour accélérer les interactions avec les appareils de la société. Le préchargement peut stocker des données sensibles dans le cache du processeur, permettant aux attaquants de récupérer ces informations pour reconstruire des clés cryptographiques qui devraient rester inaccessibles.
Malheureusement, selon Ars Technica, cela pose un problème significatif pour les utilisateurs d'Apple, car les vulnérabilités au niveau des puces ne peuvent pas être corrigées par des mises à jour logicielles.