Apple, Google et Microsoft a publié ce mois-ci des correctifs majeurs pour corriger plusieurs failles de sécurité déjà utilisées dans les attaques. Mai a également été un mois critique pour les logiciels d’entreprise, GitLab, SAP et Cisco ayant publié des correctifs pour plusieurs bogues dans leurs produits.
Voici tout ce que vous devez savoir sur les mises à jour de sécurité publiées en mai.
Apple iOS et iPadOS 16.5
Apple a publié sa mise à jour ponctuelle iOS 16.5 tant attendue, traitant de 39 problèmes, dont trois sont déjà exploités dans des attaques réelles. La mise à niveau iOS corrige les vulnérabilités du noyau au cœur du système d’exploitation et de WebKit, le moteur qui alimente le navigateur Safari. Les trois failles déjà exploitées font partie des cinq corrigées dans WebKit, suivies comme CVE-2023-32409, CVE-2023-28204 et CVE-2023-32373.
CVE-2023-32409 est un problème qui pourrait permettre à un attaquant de sortir à distance du bac à sable du contenu Web, signalé par Clément Lecigne du groupe d’analyse des menaces de Google et Donncha Ó Cearbhaill du laboratoire de sécurité d’Amnesty International. CVE-2023-28204 est une faille qui risque qu’un utilisateur divulgue des informations sensibles. Enfin, CVE-2023-32373 est un bogue d’utilisation après libération qui pourrait permettre l’exécution de code arbitraire.
Plus tôt dans le mois, Apple a publié iOS 16.4.1 (a) et iPadOS 16.4.1 (a) – la toute première mise à jour Rapid Security Response du fabricant d’iPhone – corrigeant les deux dernières vulnérabilités WebKit exploitées également corrigées dans iOS 16.5.
Apple iOS et iPadOS 16.5 ont été publiés avec iOS 15.7.6 et iPadOS 15.7.6 pour les iPhones plus anciens, ainsi qu’iTunes 12.12.9 pour Windows, Safari 16.5, macOS Big Sur 11.7.7, macOS Ventura 13.4 et macOS Monterey 12.6. 6.
Apple a également publié sa première mise à jour de sécurité pour les écouteurs Beats et AirPods.
Microsoft
Le Patch Tuesday de Microsoft en milieu de mois a corrigé 40 problèmes de sécurité, dont deux étaient des failles zero-day déjà utilisées dans les attaques. La première vulnérabilité zero-day, CVE-2023-29336, est un bogue d’élévation de privilèges dans le pilote Win32k qui pourrait permettre à un attaquant d’obtenir des privilèges système.
La deuxième faille grave, CVE-2023-24932, est un problème de contournement de la fonctionnalité de sécurité Secure Boot qui pourrait permettre à un attaquant privilégié d’exécuter du code. “Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait contourner Secure Boot”, a déclaré Microsoft, ajoutant que la faille est difficile à exploiter : “L’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant compromette les informations d’identification de l’administrateur sur l’appareil”.
La mise à jour de sécurité n’est pas un correctif complet : elle corrige la vulnérabilité en mettant à jour le gestionnaire de démarrage Windows, ce qui pourrait causer des problèmes, a averti la société. Des mesures supplémentaires sont actuellement nécessaires pour atténuer la vulnérabilité, a déclaré Microsoft, soulignant les mesures que les utilisateurs concernés peuvent prendre pour atténuer le problème.
Google Androïd
Google a publié ses derniers correctifs de sécurité Android, corrigeant 40 failles, dont une vulnérabilité Kernel déjà exploitée. Les mises à jour incluent également des correctifs pour les problèmes des composants Android Framework, System, Kernel, MediaTek, Unisoc et Qualcomm.
Le plus grave de ces problèmes est une vulnérabilité de sécurité de haute gravité dans le composant Framework qui pourrait conduire à une escalade locale des privilèges, a déclaré Google, ajoutant que l’interaction de l’utilisateur est nécessaire pour l’exploitation.
Auparavant lié aux fournisseurs de logiciels espions commerciaux, CVE-2023-0266 est un problème de noyau qui pourrait conduire à une élévation locale des privilèges. L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation.