✔️ 2022-08-18 00:35:26 – Paris/France.
Apple a publié aujourd’hui des mises à jour de sécurité d’urgence pour corriger deux vulnérabilités zero-day précédemment exploitées par des attaquants pour pirater des iPhones, des iPads ou des Macs.
Les vulnérabilités zero-day sont des failles de sécurité connues par les attaquants ou les chercheurs avant que le fournisseur de logiciels n’en ait pris connaissance ou n’ait été en mesure de les corriger. Dans de nombreux cas, les zero-days ont des exploits publics de preuve de concept ou sont activement exploités dans des attaques.
Aujourd’hui, Apple a publié macOS Monterey 12.5.1 et iOS 15.6.1/iPadOS 15.6.1 pour résoudre deux vulnérabilités zero-day qui auraient été activement exploitées.
Les deux vulnérabilités sont les mêmes pour les trois systèmes d’exploitation, la première étant identifiée comme CVE-2022-32894. Cette vulnérabilité est une vulnérabilité d’écriture hors limites dans le noyau du système d’exploitation.
Le noyau est un programme qui fonctionne comme le composant principal d’un système d’exploitation et dispose des privilèges les plus élevés dans macOS, iPadOS et iOS.
Une application, telle qu’un logiciel malveillant, peut utiliser cette vulnérabilité pour exécuter du code avec les privilèges du noyau. Comme il s’agit du niveau de privilège le plus élevé, un processus serait en mesure d’exécuter n’importe quelle commande sur l’appareil, en prenant effectivement le contrôle complet sur celui-ci.
La deuxième vulnérabilité zero-day est CVE-2022-32893 et est une vulnérabilité d’écriture hors limites dans WebKit, le moteur de navigateur Web utilisé par Safari et d’autres applications pouvant accéder au Web.
Apple affirme que cette faille permettrait à un attaquant d’exécuter du code arbitraire et, comme elle se trouve dans le moteur Web, pourrait probablement être exploitée à distance en visitant un site Web conçu de manière malveillante.
Les bogues ont été signalés par des chercheurs anonymes et corrigés par Apple dans iOS 15.6.1, iPadOS 15.6.1 et macOS Monterey 12.5.1 avec des limites améliorées vérifiant les deux bogues.
La liste des appareils affectés par les deux vulnérabilités est la suivante :
- Mac exécutant macOS Monterey
- iPhone 6s et versions ultérieures
- iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération).
Apple a divulgué une exploitation active dans la nature, mais n’a publié aucune information supplémentaire concernant ces attaques.
Il est probable que ces zero-days n’aient été utilisés que dans des attaques ciblées, mais il est toujours fortement conseillé d’installer les mises à jour de sécurité d’aujourd’hui dès que possible.
Sept zero-days patchés par Apple cette année
En mars, Apple a corrigé deux bogues zero-day supplémentaires qui étaient utilisés dans le pilote graphique Intel (CVE-2022-22674) et AppleAVD (CVE-2022-22675) qui pouvaient également être utilisés pour exécuter du code avec les privilèges du noyau.
En janvier, Apple a corrigé deux zero-days plus activement exploités qui permettaient aux attaquants d’exécuter du code arbitraire avec les privilèges du noyau (CVE-2022-22587) et de suivre l’activité de navigation Web et l’identité des utilisateurs en temps réel (CVE-2022-22594 ).
En février, Apple a publié des mises à jour de sécurité pour corriger un nouveau bogue zero-day exploité pour pirater les iPhones, iPads et Mac, entraînant des plantages du système d’exploitation et l’exécution de code à distance sur des appareils compromis après le traitement de contenu Web conçu de manière malveillante.
SOURCE : Reviews News
N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🤓