{"id":212481,"date":"2022-06-20T08:36:19","date_gmt":"2022-06-20T10:36:19","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-de-google-detaillent-une-vulnerabilite-apple-safari-de-5-ans-exploitee-a-letat-sauvage\/"},"modified":"2022-06-20T08:36:20","modified_gmt":"2022-06-20T10:36:20","slug":"des-chercheurs-de-google-detaillent-une-vulnerabilite-apple-safari-de-5-ans-exploitee-a-letat-sauvage","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-de-google-detaillent-une-vulnerabilite-apple-safari-de-5-ans-exploitee-a-letat-sauvage\/","title":{"rendered":"Des chercheurs de Google d\u00e9taillent une vuln\u00e9rabilit\u00e9 Apple Safari de 5 ans exploit\u00e9e \u00e0 l&#8217;\u00e9tat sauvage"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une faille de s\u00e9curit\u00e9 dans Apple Safari qui a \u00e9t\u00e9 exploit\u00e9e dans la nature plus t\u00f4t cette ann\u00e9e a \u00e9t\u00e9 initialement corrig\u00e9e en 2013 et r\u00e9introduite en d\u00e9cembre 2016, selon un nouveau rapport de Google Project Zero.<\/p>\n<p>Le probl\u00e8me, suivi en tant que CVE-2022-22620 (score CVSS\u00a0: 8,8), concerne un cas de vuln\u00e9rabilit\u00e9 d&#8217;utilisation apr\u00e8s lib\u00e9ration dans le composant WebKit qui pourrait \u00eatre exploit\u00e9e par un \u00e9l\u00e9ment de contenu Web sp\u00e9cialement con\u00e7u pour obtenir l&#8217;ex\u00e9cution de code arbitraire.<\/p>\n<p>D\u00e9but f\u00e9vrier 2022, Apple a envoy\u00e9 des correctifs pour le bogue sur Safari, iOS, iPadOS et macOS, tout en reconnaissant qu&#8217;il &#8220;peut avoir \u00e9t\u00e9 activement exploit\u00e9&#8221;.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/soc2-gitprotect\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Le-package-PyPI-populaire-ctx-et-la-bibliotheque-PHP-phpass.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Dans ce cas, la variante a \u00e9t\u00e9 compl\u00e8tement corrig\u00e9e lorsque la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 initialement signal\u00e9e en 2013&#8221;, a d\u00e9clar\u00e9 Maddie Stone de Google Project Zero. <a rel=\"nofollow noopener\" href=\"https:\/\/googleprojectzero.blogspot.com\/2022\/06\/an-autopsy-on-zombie-in-wild-0-day.html\" target=\"_blank\">a dit<\/a>.  &#8220;Cependant, la variante a \u00e9t\u00e9 r\u00e9introduite trois ans plus tard lors d&#8217;importants efforts de refactorisation. La vuln\u00e9rabilit\u00e9 a ensuite continu\u00e9 d&#8217;exister pendant 5 ans jusqu&#8217;\u00e0 ce qu&#8217;elle soit corrig\u00e9e comme un jour z\u00e9ro dans la nature en janvier 2022.&#8221;<\/p>\n<p>Alors que les deux <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/WebKit\/WebKit\/commit\/4b3be1d3a8d22cb2b2f5ddb8299f7cd25a21cebf\" target=\"_blank\">2013<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/WebKit\/WebKit\/commit\/aa31b6b4d09b09acdf1cec11f2f7f35bd362dd0e\" target=\"_blank\">2022<\/a> bogues dans le <a rel=\"nofollow noopener\" href=\"https:\/\/googleprojectzero.github.io\/0days-in-the-wild\/\/0day-RCAs\/2022\/CVE-2022-22620.html\" target=\"_blank\">API d&#8217;historique<\/a> sont essentiellement les m\u00eames, les chemins pour d\u00e9clencher la vuln\u00e9rabilit\u00e9 sont diff\u00e9rents.  Ensuite, les modifications de code ult\u00e9rieures entreprises des ann\u00e9es plus tard ont raviv\u00e9 la faille du jour z\u00e9ro comme un &#8220;zombie&#8221;.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>D\u00e9clarant que l&#8217;incident n&#8217;est pas propre \u00e0 Safari, Stone a en outre soulign\u00e9 qu&#8217;il fallait suffisamment de temps pour auditer le code et les correctifs afin d&#8217;\u00e9viter les cas de duplication des correctifs et de comprendre les impacts sur la s\u00e9curit\u00e9 des modifications apport\u00e9es.<\/p>\n<p>&#8220;Les commits d&#8217;octobre 2016 et de d\u00e9cembre 2016 \u00e9taient tr\u00e8s volumineux. Le commit d&#8217;octobre a modifi\u00e9 40 fichiers avec 900 ajouts et 1225 suppressions. Le commit de d\u00e9cembre a modifi\u00e9 95 fichiers avec 1336 ajouts et 1325 suppressions&#8221;, a not\u00e9 Stone.<\/p>\n<p>&#8220;Il semble intenable pour les d\u00e9veloppeurs ou les r\u00e9viseurs de comprendre en d\u00e9tail les implications en mati\u00e8re de s\u00e9curit\u00e9 de chaque modification de ces commits, d&#8217;autant plus qu&#8217;elles sont li\u00e9es \u00e0 la s\u00e9mantique de la dur\u00e9e de vie.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/google-researchers-detail-5-year-old.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une faille de s\u00e9curit\u00e9 dans Apple Safari qui a \u00e9t\u00e9 exploit\u00e9e dans la nature plus t\u00f4t cette ann\u00e9e a \u00e9t\u00e9 initialement corrig\u00e9e en 2013 et r\u00e9introduite en d\u00e9cembre 2016, selon un nouveau rapport de Google Project Zero. Le probl\u00e8me, suivi en tant que CVE-2022-22620 (score CVSS\u00a0: 8,8), concerne un cas de vuln\u00e9rabilit\u00e9 d&#8217;utilisation apr\u00e8s lib\u00e9ration [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":212482,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[277,2479,12848,4168,4158,4165,4161,133,38951,36372,7755,4157,4159,4171,4170,251,4167,4160,4163,4162,1278,5854,4172,4169,196,4166,3667,4164],"class_list":["post-212481","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ans","tag-apple","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-detaillent","tag-exploitee","tag-google","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-letat","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-safari","tag-sauvage","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/212481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=212481"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/212481\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/212482"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=212481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=212481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=212481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}