L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié mercredi ajoutée une faille de haute gravité impactant iOS, iPadOS, macOS, tvOS et watchOS en raison de ses vulnérabilités exploitées connues (KEV), fondé sur des preuves d’exploitation active.
La vulnérabilité, suivie comme CVE-2022-48618 (score CVSS : 7,8), concerne un bug dans le composant noyau.
« Un attaquant doté de capacités de lecture et d’écriture arbitraires pourrait être en mesure de contourner l’authentification par pointeur », a déclaré Apple dans un avis, ajoutant que le problème « pourrait avoir été exploité contre des versions d’iOS publiées avant iOS 15.7.1 ».
Le fabricant de l’iPhone a déclaré que le problème avait été résolu par des contrôles améliorés. On ne sait pas actuellement comment cette vulnérabilité est exploitée dans des attaques réelles.
Fait intéressant, des correctifs pour la faille ont été publiés le 13 décembre 2022 avec la sortie de iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2et montreOS 9.2bien qu’il n’ait été rendu public que plus d’un an plus tard, le 9 janvier 2024.
Il convient de noter qu’Apple a résolu une faille similaire dans le noyau (CVE-2022-32844score CVSS : 6,3) dans iOS 15.6 et iPadOS 15.6, livrés le 20 juillet 2022.
« Une application dotée d’une capacité de lecture et d’écriture arbitraire du noyau peut être capable de contourner l’authentification par pointeur », avait déclaré la société à l’époque. « Un problème de logique a été résolu grâce à une gestion améliorée de l’état. »
À la lumière de l’exploitation active du CVE-2022-48618, la CISA recommande aux agences du pouvoir exécutif civil fédéral (FCEB) d’appliquer les correctifs d’ici le 21 février 2024.
Le développement intervient également alors qu’Apple a étendu les correctifs pour une faille de sécurité activement exploitée dans le moteur du navigateur WebKit (CVE-2024-23222, score CVSS : 8,8) pour inclure son casque Apple Vision Pro. Le correctif est disponible dans visionOS 1.0.2.