Des chercheurs de Google ont identifié deux vulnérabilités zero-day dans les composants WebKit d'Apple, désormais corrigées. Apple exhorte les utilisateurs à mettre à jour leurs systèmes rapidement en raison d'une exploitation potentielle par des hackers.
La première vulnérabilité (CVE-2024-44308) affecte le framework JavaScriptCore, permettant l'exécution de code arbitraire via du contenu web malveillant. Elle impacte principalement les systèmes Mac basés sur Intel.
La seconde faille (CVE-2024-44309) est liée au moteur de mise en page de WebKit, permettant des attaques de type cross-site scripting sur les Macs Intel.
Ces vulnérabilités sont une cible pour les hackers, car compromettre WebKit peut mener à des violations plus profondes du système, y compris le vol de données et la surveillance.
Découvertes par Clément Lecigne et Benoît Sevens du groupe d'analyse des menaces de Google, les failles ont été corrigées dans les dernières versions de macOS Sequoia, iOS et iPadOS. Des mises à jour de sécurité sont également disponibles pour Safari sur macOS Ventura, macOS Sonoma et le casque Vision Pro.