Apple a déployé jeudi des correctifs d’urgence pour corriger deux failles zero-day dans ses systèmes d’exploitation mobiles et de bureau qui, selon elle, pourraient avoir été exploitées à l’état sauvage.

Les lacunes ont été corrigées dans le cadre des mises à jour d’iOS et iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 et watchOS 8.5.1. Les deux vulnérabilités ont été signalées à Apple de manière anonyme.

Suivi sous le nom de CVE-2022-22675, le problème a été décrit comme une vulnérabilité d’écriture hors limites dans un composant de décodage audio et vidéo appelé AppleAVD qui pourrait permettre à une application d’exécuter du code arbitraire avec les privilèges du noyau.

Apple a déclaré que le défaut avait été résolu grâce à une vérification améliorée des limites, ajoutant qu’il était conscient que « ce problème peut avoir été activement exploité ».

La dernière version de macOS Monterey, en plus de corriger CVE-2022-22675, inclut également la correction de CVE-2022-22674, un problème de lecture hors limites dans le module Intel Graphics Driver qui pourrait permettre à un acteur malveillant de lire la mémoire du noyau.

Le bogue a été « traité avec une meilleure validation des entrées », a noté le fabricant d’iPhone, déclarant une fois de plus qu’il existe des preuves d’exploitation active, tout en retenant des détails supplémentaires pour éviter de nouveaux abus.

Les dernières mises à jour portent à quatre le nombre total de zero-days activement exploités par Apple depuis le début de l’année, sans parler d’une faille révélée publiquement dans l’API IndexedDB (CVE-2022-22594), qui pourrait être militarisée par un programme malveillant. site Web pour suivre l’activité en ligne et les identités des utilisateurs dans le navigateur Web.

CVE-2022-22587 (IOMobileFrameBuffer) – Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
CVE-2022-22620 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
À la lumière de l’exploitation active des failles, il est fortement recommandé aux utilisateurs Apple iPhone, iPad et Mac de mettre à niveau vers les dernières versions du logiciel dès que possible pour atténuer les menaces potentielles.

Les mises à jour iOS et iPad sont disponibles pour iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *