La mise à jour iOS est urgente, mais pas à cause de l'iPhone 15

Apple propose la mise à jour iOS 17.0.3. Elle était attendue afin de résoudre des soucis de surchauffe ayant fait l'objet de signalements avec l'iPhone 15 Pro. Les notes de version d'iOS 17.0.3 évoquent la résolution d'un problème pouvant entraîner une " surchauffe inattendue de l'iPhone. "

Suite aux divers signalements, le groupe de Cupertino avait réagi en écartant un lien avec sa nouvelle puce A17 Pro gravée en 3 nm ou le design en titane. Apple avait par contre confirmé la découverte d'un bug dans iOS 17, ainsi qu'un problème avec certaines mises à jour récentes d'applications tierces entraînant une surcharge du système.

Apple avait en outre souligné qu'un iPhone peut sembler plus chaud au cours des premiers jours suivant la configuration ou la restauration de l'appareil, à cause de l'augmentation de l'activité en arrière-plan.

Une vulnérabilité 0-day

Reste que la mise à jour iOS 17.0.3, qui n'altère pas les performances, concerne plus globalement l'iPhone pour la correction de deux vulnérabilités de sécurité. Il en est de même pour l'iPad avec iPadOS 17.0.3. L'une d'elles est exploitée dans des attaques.

La vulnérabilité CVE-2023-42824 est décrite comme une faille dans le noyau du système d'exploitation qui permet à un attaquant local de provoquer une élévation de privilèges.

Pas beaucoup plus d'informations, si ce n'est que le rapport indiquant une exploitation active concerne les versions d'iOS antérieures à iOS 16.6.

Une récente connaissance

Sans signalement d'une exploitation dans des attaques, la deuxième vulnérabilité CVE-2023-5217 est de type dépassement de tampon et peut entraîner l'exécution de code arbitraire. Elle affecte WebRTC (Web Real-Time Communication) à cause d'un bug au niveau de la bibliothèque libvpx.

La vulnérabilité est corrigée dans le cadre de libvpx 1.13.1. Il s'agit de la faille qui a déclenché une série de mises à jour pour les navigateurs web et autres produits.

Dans le cas du navigateur Chrome et avec l'implication de l'encodage vidéo au format VP8, Google avait précisé l'utilisation de CVE-2023-5217 pour un spyware commercialisé par une société de surveillance.