Apple a déployé mardi des mises à jour de sécurité pour iOS, iPadOS, macOS, tvOS et le navigateur Web Safari afin de remédier à une nouvelle vulnérabilité zero-day qui pourrait entraîner l’exécution de code malveillant.
Suivi comme CVE-2022-42856le problème a été décrit par le géant de la technologie comme un problème de confusion de type dans le moteur de navigateur WebKit qui pourrait être déclenché lors du traitement de contenu spécialement conçu, entraînant l’exécution de code arbitraire.
La société a déclaré qu’elle était « au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre les versions d’iOS publiées avant iOS 15.1 ».
Bien que les détails entourant la nature exacte des attaques soient encore inconnus, il est probable qu’il s’agisse d’un cas d’ingénierie sociale ou d’un point d’eau pour infecter les appareils lors de la visite d’un domaine voyou ou légitime mais compromis via le navigateur.
Il convient de noter que chaque navigateur Web tiers disponible pour iOS et iPadOS, y compris Google Chrome, Mozilla Firefox et Microsoft Edge, et d’autres, est obligatoire d’utiliser le moteur de rendu WebKit en raison des restrictions imposées par Apple.
Clément Lecigne du Threat Analysis Group (TAG) de Google est crédité d’avoir découvert et signalé le problème. Apple a noté qu’il avait résolu le bogue avec une meilleure gestion de l’état.
La mise à jour, qui est disponible avec iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2et Safari 16.2arrive deux semaines après qu’Apple ait corrigé le même bogue dans iOS 16.1.2 le 30 novembre 2022.
Le correctif marque la résolution de la dixième vulnérabilité zero-day découverte dans les logiciels Apple depuis le début de l’année. C’est aussi la neuvième faille zero-day activement exploitée en 2022 –
- CVE-2022-22587 (IOMobileFrameBuffer) – Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
- CVE-2022-22594 (WebKit Storage) – Un site Web peut être en mesure de suivre les informations sensibles des utilisateurs (connues publiquement mais non activement exploitées)
- CVE-2022-22620 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2022-22674 (Pilote graphique Intel) – Une application peut être capable de lire la mémoire du noyau
- CVE-2022-22675 (AppleAVD) – Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
- CVE-2022-32893 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- CVE-2022-32894 (Kernel) – Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
- CVE-2022-32917 (Kernel) – Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
- CVE-2022-42827 (Kernel) – Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Le dernier iOS, iPadOSet macOS les mises à jour introduisent également une nouvelle fonctionnalité de sécurité appelée Advanced Data Protection pour iCloud qui étend le chiffrement de bout en bout (E2EE) à la sauvegarde iCloud, les notes, les photos, etc.