CISA a averti aujourd’hui qu’une faille de sécurité du noyau corrigée affectant les iPhones, Mac, téléviseurs et montres Apple était désormais activement exploitée dans les attaques.

Suivi sous le numéro CVE-2022-48618 et découvert par les chercheurs en sécurité d’Apple, le bogue n’a été divulgué que le 9 janvier dans une mise à jour d’un avis de sécurité publié en décembre 2022.

La société n’a pas encore révélé si la vulnérabilité avait également été corrigée silencieusement il y a plus de deux ans lorsque l’avis a été émis pour la première fois.

« Un attaquant avec une capacité de lecture et d’écriture arbitraire peut être en mesure de contourner l’authentification du pointeur », a révélé la société ce mois-ci.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été exploité contre des versions d’iOS publiées avant iOS 15.7.1. »

Cette vulnérabilité de sécurité d’authentification incorrecte permet aux attaquants de contourner l’authentification du pointeur, une fonctionnalité de sécurité conçue pour bloquer les attaques qui tentent d’exploiter des bogues de corruption de la mémoire.

Apple a corrigé la faille avec des vérifications améliorées sur les appareils exécutant iOS 16.2 ou version ultérieure, iPadOS 16.2 ou version ultérieure, macOS Ventura ou version ultérieure, tvOS 16.2 ou version ultérieure et watchOS 9.2 ou version ultérieure.

La liste des appareils concernés par cette faille activement exploitée est assez longue et elle affecte à la fois les modèles plus anciens et plus récents, notamment:

  • iPhone 8 et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 3e génération et modèles ultérieurs, iPad 5e génération et modèles ultérieurs et iPad mini 5e génération et modèles ultérieurs
  • Mac exécutant macOS Ventura
  • Apple TV 4K, Apple TV 4K (2e génération et versions ultérieures) et Apple TV HD
  • et Apple Watch Series 4 et versions ultérieures

Les agences fédérales ont reçu l’ordre de patcher d’ici le 21 février
Alors qu’Apple n’a pas encore partagé plus de détails sur l’exploitation active de CVE-2022-48618 dans la nature, CISA a ajouté la vulnérabilité à son Catalogue de vulnérabilités exploitées connues.

Il a également ordonné aux agences fédérales américaines de corriger le bogue d’ici le 21 février, comme l’exige une directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021.

La semaine dernière, Apple a également publié des mises à jour de sécurité pour corriger le premier bogue zero-day de cette année (CVE-2024-23222) exploité dans les attaques, un problème de confusion WebKit que les attaquants pourraient exploiter pour obtenir l’exécution de code sur des iPhones, Mac et Apple TV vulnérables.

Le même jour, la société a également rétroporté des correctifs sur les anciens modèles d’iPhone et d’iPad pour deux autres jours zéro WebKit suivis comme CVE-2023-42916 et CVE-2023-42917 et corrigés en novembre pour

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *