Apple a publié une autre série de mises à jour de sécurité pour résoudre plusieurs vulnérabilités dans iOS et macOS, y compris une nouvelle faille zero-day qui a été utilisée dans des attaques dans la nature.
Le problème, auquel est attribué l’identifiant CVE-2022-32917est enraciné dans le composant Kernel et pourrait permettre à une application malveillante d’exécuter du code arbitraire avec les privilèges du noyau.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a reconnu le fabricant d’iPhone dans un bref communiqué, ajoutant qu’il avait résolu le bogue avec des vérifications liées améliorées.
Un chercheur anonyme a été crédité d’avoir signalé la lacune. Il convient de noter que CVE-2022-32917 est également la deuxième faille zero-day liée au noyau qu’Apple a corrigée en moins d’un mois.
Les correctifs sont disponibles en versions iOS 15.7, iPadOS 15.7, iOS16, macOS Big Sur 11.7et macOS Monterey 12.6. Les mises à jour iOS et iPadOS couvrent l’iPhone 6s et les versions ultérieures, l’iPad Pro (tous les modèles), l’iPad Air 2 et les versions ultérieures, l’iPad 5e génération et les versions ultérieures, l’iPad mini 4 et les versions ultérieures et l’iPod touch (7e génération).
Avec les derniers correctifs, Apple a corrigé sept failles zero-day activement exploitées et une vulnérabilité zero-day publiquement connue depuis le début de l’année –
- CVE-2022-22587 (IOMobileFrameBuffer) – Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
- CVE-2022-22594 (WebKit Storage) – Un site Web peut être en mesure de suivre les informations sensibles des utilisateurs (connues publiquement mais non activement exploitées)
- CVE-2022-22620 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2022-22674 (Pilote graphique Intel) – Une application peut être capable de lire la mémoire du noyau
- CVE-2022-22675 (AppleAVD) – Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
- CVE-2022-32893 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2022-32894 (Kernel) – Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Outre CVE-2022-32917, Apple a corrigé 10 failles de sécurité dans iOS 16, couvrant Contacts, Kernel Maps, MediaLibrary, Safari et WebKit. La mise à jour iOS 16 est également remarquable pour incorporer un nouveau mode de verrouillage conçu pour rendre plus difficiles les attaques sans clic.
iOS introduit en outre une fonctionnalité appelée Rapid Security Response qui permet aux utilisateurs d’installer automatiquement des correctifs de sécurité sur les appareils iOS sans mise à jour complète du système d’exploitation.
« Les réponses de sécurité rapides apportent des améliorations de sécurité importantes plus rapidement, avant qu’elles ne fassent partie d’autres améliorations dans une future mise à jour logicielle », a déclaré Apple dans un communiqué. document d’appui révisé publié lundi.
Enfin, iOS 16 prend également en charge les clés de passe dans le navigateur Web Safari, un mécanisme de connexion sans mot de passe qui permet aux utilisateurs de se connecter aux sites Web et aux services en s’authentifiant via Touch ID ou Face ID.