Novembre a vu le publication de correctifs comme iOS d’Apple, Google Chrome, Firefox et Microsoft Windows pour corriger plusieurs vulnérabilités de sécurité. Certains de ces problèmes sont assez graves, et plusieurs ont déjà été exploités par des attaquants.
Voici ce que vous devez savoir sur toutes les mises à jour importantes publiées au cours du mois dernier.
Apple iOS et iPadOS 16.1.1
Apple a publié iOS et iPadOS 16.1.1, que le fabricant d’iPhone recommande à tous les utilisateurs d’appliquer. Le correctif corrige deux vulnérabilités de sécurité et, compte tenu de la rapidité de la publication, vous pouvez supposer qu’elles sont assez graves.
Suivis comme CVE-2022-40303 et CVE-2022-40304, les deux failles de la bibliothèque logicielle libxml2 pourraient permettre à un attaquant d’exécuter du code à distance, selon la page d’assistance d’Apple. Les problèmes ont tous deux été signalés par des chercheurs en sécurité travaillant pour Project Zero de Google.
Pour les utilisateurs de Mac, les failles ont été corrigées par macOS Ventura 13.0.1.
La bonne nouvelle est que l’on pense qu’aucune vulnérabilité n’a été exploitée par des attaquants, mais c’est toujours une bonne idée d’appliquer la mise à jour dès que possible.
Microsoft Windows
Le correctif de novembre de Microsoft mardi était une autre version importante, voyant le fabricant Windows corriger 68 vulnérabilités, dont quatre étaient des jours zéro.
Suivi sous le nom de CVE-2022-41073, le premier est une vulnérabilité d’élévation des privilèges du spouleur d’impression Windows qui pourrait permettre à un cybercriminel d’obtenir des privilèges système. Pendant ce temps, CVE-2022-41125 est un problème d’isolation de clé Windows Cryptographic Next Generation qui pourrait permettre à un adversaire d’élever ses privilèges et de prendre le contrôle du système. CVE-2022-41128 est une vulnérabilité du langage de script Windows qui pourrait entraîner l’exécution de code à distance. Enfin, CVE-2022-41091 est une vulnérabilité de la fonctionnalité de sécurité Mark of the Web de Microsoft.
Google Androïd
D’autres mises à jour importantes pour les utilisateurs des appareils Android de Google sont arrivées en novembre, Google publiant des correctifs pour plusieurs vulnérabilités, dont certaines sont graves. En haut de la liste se trouve une vulnérabilité de haute gravité dans le composant Framework qui pourrait conduire à une escalade locale des privilèges, a déclaré Google dans un avis de sécurité.
Les correctifs de novembre incluent deux mises à jour du système Google Play pour les problèmes affectant les composants Media Framework (CVE-2022-2209) et le WiFi (CVE-2022-20463). Google a également corrigé cinq problèmes affectant ses appareils Pixel.
Les mises à jour Android ont commencé à être déployées sur les appareils Samsung, y compris les pliables Galaxy de troisième et quatrième génération. Vous pouvez vérifier la mise à jour dans vos paramètres.
Google Chrome
Le navigateur le plus populaire au monde continue d’être une cible majeure pour les attaquants, Google corrigeant ce mois-ci sa huitième vulnérabilité zero-day cette année.
La vulnérabilité, identifiée comme CVE-2022-4135, est un débordement de mémoire tampon dans le GPU signalé par Clément Lecigne, un chercheur du propre groupe d’analyse des menaces de Google. Google a déclaré qu’il “est conscient qu’un exploit pour CVE-2022-4135 existe dans la nature”.
Plus tôt dans le mois, Google a publié une mise à jour pour corriger 10 vulnérabilités de Chrome, dont six sont classées comme très graves. Ceux-ci incluent quatre bogues d’utilisation après libération : CVE-2022-3885, CVE-2022-3886, CVE-2022-3887 et CVE-2022-3888. Pendant ce temps, CVE-2022-3889 est un problème de « confusion de type » dans V8, et CVE-2022-3890 est un débordement de mémoire tampon dans Crashpad.
MozillaFirefox
Novembre a également été un grand mois pour Firefox, le concurrent de Google Chrome. Mozilla a publié Firefox 107, corrigeant 19 vulnérabilités de sécurité, dont huit sont marquées comme ayant un impact élevé.
L’un des correctifs les plus importants concerne CVE-2022-45404, un contournement de notification plein écran qui pourrait permettre à un attaquant de faire passer une fenêtre en plein écran sans que l’utilisateur ne voie l’invite de notification. Cela pourrait entraîner des attaques par usurpation d’identité. Pendant ce temps, plusieurs bogues d’utilisation après libération pourraient conduire à un plantage exploitable, et une faille pourrait être exploitée pour exécuter du code arbitraire.
VMWare
Le fabricant de logiciels VMWare a publié des correctifs de sécurité pour plusieurs vulnérabilités de sécurité dans son VMware Workspace ONE Assist, dont trois ont un score de base CVSSv3 de 9,8. La première, CVE-2022-31685, est une vulnérabilité de contournement d’authentification. “Un acteur malveillant disposant d’un accès réseau à Workspace ONE Assist peut être en mesure d’obtenir un accès administratif sans avoir besoin de s’authentifier auprès de l’application”, a averti VMWare dans un avis.
Une vulnérabilité de méthode d’authentification cassée identifiée comme CVE-2022-31686 pourrait permettre à un acteur malveillant disposant d’un accès réseau d’obtenir un accès administrateur sans avoir besoin de s’authentifier.
