Apple a publié mercredi des mises à jour de sécurité pour iOS, iPadOSet macOS plates-formes pour remédier à deux vulnérabilités zero-day précédemment exploitées par des acteurs de la menace pour compromettre ses appareils.
La liste des problèmes est ci-dessous –
- CVE-2022-32893 – Un problème hors limites dans WebKit qui pourrait conduire à l’exécution de code arbitraire en traitant un contenu Web spécialement conçu
- CVE-2022-32894 – Un problème hors limites dans le noyau du système d’exploitation qui pourrait être exploité par une application malveillante pour exécuter du code arbitraire avec les privilèges les plus élevés
Apple a déclaré avoir résolu les deux problèmes avec une vérification améliorée des limites, ajoutant qu’il était conscient que les vulnérabilités « pourraient avoir été activement exploitées ».
La société n’a divulgué aucune information supplémentaire concernant ces attaques ou l’identité des acteurs de la menace qui les commettent, bien qu’il soit probable qu’ils aient été abusés dans le cadre d’intrusions très ciblées.
La dernière mise à jour porte à six le nombre total de zero-days corrigés par Apple depuis le début de l’année –
- CVE-2022-22587 (IOMobileFrameBuffer) – Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
- CVE-2022-22620 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2022-22674 (Pilote graphique Intel) – Une application peut être capable de lire la mémoire du noyau
- CVE-2022-22675 (AppleAVD) – Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Les deux vulnérabilités ont été corrigées dans iOS 15.6.1, iPadOS 15.6.1 et macOS Monterey 12.5.1. Les mises à jour iOS et iPadOS sont disponibles pour iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération).