Multiples vulnérabilités dans les produits Apple

Risque(s)

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Systèmes affectés

Safari versions antérieures à 17.3
iOS versions 15.x antérieures à 15.8.1
iOS versions 16.x antérieures à 16.7.5
iOS versions 17.x antérieures à 17.3
iPadOS versions antérieures à 15.8.1
iPadOS versions 16.x antérieures à 16.7.5
iPadOS versions 17.x antérieures à 17.3
macOS Monterey versions antérieures à 12.7.3
macOS Sonoma versions antérieures à 14.3
macOS Ventura versions antérieures à 13.6.4
visionOS versions antérieures à 1.0.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Apple. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et une exécution de code arbitraire à distance.

D'après l'éditeur, la vulnérabilité CVE-2024-23222 est activement exploitée. Apple a également publié des correctifs pour les appareils plus anciens qui ne supportent pas les versions plus récentes d'iOS et iPadOS. Ceux-ci concernent les vulnérabilités CVE-2023-42916 et CVE-2023-42917 qui sont également activement exploitées.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Apple HT214056 du 22 janvier 2024
https://support.apple.com/en-us/HT214056
Bulletin de sécurité Apple HT214059 du 22 janvier 2024
https://support.apple.com/en-us/HT214059
Bulletin de sécurité Apple HT214063 du 22 janvier 2024
https://support.apple.com/en-us/HT214063
Bulletin de sécurité Apple HT214062 du 22 janvier 2024
https://support.apple.com/en-us/HT214062
Bulletin de sécurité Apple HT214061 du 22 janvier 2024
https://support.apple.com/en-us/HT214061
Bulletin de sécurité Apple HT214058 du 22 janvier 2024
https://support.apple.com/en-us/HT214058
Bulletin de sécurité Apple HT214057 du 22 janvier 2024
https://support.apple.com/en-us/HT214057
Bulletin de sécurité Apple HT214070 du 31 janvier 2024
https://support.apple.com/en-us/HT214070
Référence CVE CVE-2023-38039
https://www.cve.org/CVERecord?id=CVE-2023-38039
Référence CVE CVE-2023-38545
https://www.cve.org/CVERecord?id=CVE-2023-38545
Référence CVE CVE-2023-38546
https://www.cve.org/CVERecord?id=CVE-2023-38546
Référence CVE CVE-2023-40528
https://www.cve.org/CVERecord?id=CVE-2023-40528
Référence CVE CVE-2023-42887
https://www.cve.org/CVERecord?id=CVE-2023-42887
Référence CVE CVE-2023-42888
https://www.cve.org/CVERecord?id=CVE-2023-42888
Référence CVE CVE-2023-42915
https://www.cve.org/CVERecord?id=CVE-2023-42915
Référence CVE CVE-2023-42916
https://www.cve.org/CVERecord?id=CVE-2023-42916
Référence CVE CVE-2023-42917
https://www.cve.org/CVERecord?id=CVE-2023-42917
Référence CVE CVE-2023-42935
https://www.cve.org/CVERecord?id=CVE-2023-42935
Référence CVE CVE-2023-42937
https://www.cve.org/CVERecord?id=CVE-2023-42937
Référence CVE CVE-2024-23203
https://www.cve.org/CVERecord?id=CVE-2024-23203
Référence CVE CVE-2024-23204
https://www.cve.org/CVERecord?id=CVE-2024-23204
Référence CVE CVE-2024-23206
https://www.cve.org/CVERecord?id=CVE-2024-23206
Référence CVE CVE-2024-23207
https://www.cve.org/CVERecord?id=CVE-2024-23207
Référence CVE CVE-2024-23208
https://www.cve.org/CVERecord?id=CVE-2024-23208
Référence CVE CVE-2024-23209
https://www.cve.org/CVERecord?id=CVE-2024-23209
Référence CVE CVE-2024-23210
https://www.cve.org/CVERecord?id=CVE-2024-23210
Référence CVE CVE-2024-23211
https://www.cve.org/CVERecord?id=CVE-2024-23211
Référence CVE CVE-2024-23212
https://www.cve.org/CVERecord?id=CVE-2024-23212
Référence CVE CVE-2024-23213
https://www.cve.org/CVERecord?id=CVE-2024-23213
Référence CVE CVE-2024-23214
https://www.cve.org/CVERecord?id=CVE-2024-23214
Référence CVE CVE-2024-23215
https://www.cve.org/CVERecord?id=CVE-2024-23215
Référence CVE CVE-2024-23217
https://www.cve.org/CVERecord?id=CVE-2024-23217
Référence CVE CVE-2024-23218
https://www.cve.org/CVERecord?id=CVE-2024-23218
Référence CVE CVE-2024-23219
https://www.cve.org/CVERecord?id=CVE-2024-23219
Référence CVE CVE-2024-23222
https://www.cve.org/CVERecord?id=CVE-2024-23222
Référence CVE CVE-2024-23223
https://www.cve.org/CVERecord?id=CVE-2024-23223
Référence CVE CVE-2024-23224
https://www.cve.org/CVERecord?id=CVE-2024-23224

Référence	CERTFR-2024-AVI-0062
Titre	Multiples vulnérabilités dans les produits Apple
Date de la première version	23 janvier 2024
Date de la dernière version	01 février 2024
Source(s)	Bulletin de sécurité Apple HT214056 du 22 janvier 2024 Bulletin de sécurité Apple HT214057 du 22 janvier 2024 Bulletin de sécurité Apple HT214058 du 22 janvier 2024 Bulletin de sécurité Apple HT214059 du 22 janvier 2024 Bulletin de sécurité Apple HT214061 du 22 janvier 2024 Bulletin de sécurité Apple HT214062 du 22 janvier 2024 Bulletin de sécurité Apple HT214063 du 22 janvier 2024 Bulletin de sécurité Apple HT214070 du 31 janvier 2024
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Apple

Gestion du document

Risque(s)

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document