géants de la technologie Apple, Microsoft et Google ont chacun corrigé des failles de sécurité majeures en avril, dont beaucoup étaient déjà utilisées dans des attaques réelles. Parmi les autres entreprises à publier des correctifs figurent le navigateur Firefox axé sur la confidentialité et les fournisseurs de logiciels d’entreprise SolarWinds et Oracle.
Voici tout ce que vous devez savoir sur les correctifs publiés en avril.
Pomme
Dans la foulée d’iOS 16.4, Apple a publié la mise à jour iOS 16.4.1 pour corriger deux vulnérabilités déjà utilisées dans les attaques. CVE-2023-28206 est un problème dans IOSurfaceAccelerator qui pourrait voir une application capable d’exécuter du code avec les privilèges du noyau, a déclaré Apple sur sa page d’assistance.
CVE-2023-28205 est un problème dans WebKit, le moteur qui alimente le navigateur Safari, qui pourrait conduire à l’exécution de code arbitraire. Dans les deux cas, le fabricant d’iPhone déclare : “Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité”.
Le bogue signifie que la visite d’un site Web piégé pourrait donner aux cybercriminels le contrôle de votre navigateur ou de toute application qui utilise WebKit pour rendre et afficher du contenu HTML, explique Paul Ducklin, chercheur en sécurité à la société de cybersécurité Sophos.
Les deux failles corrigées dans iOS 16.4.1 ont été signalées par le groupe d’analyse des menaces de Google et le laboratoire de sécurité d’Amnesty International. Compte tenu de cela, Ducklin pense que les failles de sécurité auraient pu être utilisées pour implanter des logiciels espions.
Apple a également publié iOS 15.7.5 pour les utilisateurs d’anciens iPhones afin de corriger les mêmes failles déjà exploitées. Pendant ce temps, le fabricant d’iPhone a publié macOS Ventura 13.3.1, Safari 16.4.1, macOS Monterey 12.6.5 et macOS Big Sur 11.7.6.
Microsoft
Apple n’était pas la seule grande entreprise technologique à publier des correctifs d’urgence en avril. Microsoft a également publié un correctif urgent dans le cadre de la mise à jour Patch Tuesday de ce mois-ci. CVE-2023-28252 est un bogue d’élévation de privilèges dans le pilote Windows Common Log File System. Un attaquant qui parviendrait à exploiter la faille pourrait obtenir des privilèges système, a déclaré Microsoft dans un avis.
Une autre faille notable, CVE-2023-21554, est une vulnérabilité d’exécution de code à distance dans Microsoft Message Queuing étiquetée comme ayant un impact critique. Pour exploiter la vulnérabilité, un attaquant devrait envoyer un paquet MSMQ malveillant à un serveur MSMQ, a déclaré Microsoft, ce qui pourrait entraîner l’exécution de code à distance côté serveur.
Le correctif faisait partie d’une série de correctifs pour 98 vulnérabilités, il vaut donc la peine de consulter l’avis et de le mettre à jour dès que possible.
Google Androïd
Google a publié plusieurs correctifs pour son système d’exploitation Android, corrigeant plusieurs failles sérieuses. Le bogue le plus grave est une vulnérabilité de sécurité critique dans le composant système qui pourrait conduire à l’exécution de code à distance sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire, a déclaré Google dans son bulletin de sécurité Android. L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation.
Les problèmes corrigés incluent 10 dans le cadre, dont huit failles d’élévation de privilèges et neuf autres classées comme ayant une gravité élevée. Google a corrigé 16 bogues dans le système, dont deux failles RCE critiques et plusieurs problèmes dans le noyau et les composants SoC.
La mise à jour comprend également plusieurs correctifs spécifiques à Pixel, y compris une faille d’élévation de privilèges dans le noyau suivie comme CVE-2023-0266. Le correctif Android d’avril est disponible pour les appareils de Google ainsi que pour les modèles, y compris la série Galaxy S de Samsung, aux côtés des séries Fold et Flip.
Google Chrome
Début avril, Google a publié un correctif pour résoudre 16 problèmes dans son célèbre navigateur Chrome, dont certains sont graves. Les failles corrigées incluent CVE-2023-1810, un problème de débordement de la mémoire tampon dans Visuals considéré comme ayant un impact élevé, et CVE-2023-1811, une vulnérabilité d’utilisation après libération dans Frames. Les 14 bogues de sécurité restants sont classés comme ayant un impact moyen ou faible.
Au milieu du mois, Google a été contraint de publier une mise à jour d’urgence, cette fois pour corriger deux failles, dont l’une est déjà utilisée dans des attaques réelles. CVE-2023-2033 est un type de faille de confusion dans le moteur JavaScript V8. “Google est conscient qu’un exploit pour CVE-2023-2033 existe dans la nature”, a déclaré le géant du logiciel sur son blog.
Quelques jours plus tard, Google a publié un autre correctif, corrigeant des problèmes, notamment une autre faille zero-day suivie sous le nom de CVE-2023-2136, un bogue de débordement d’entier dans le moteur graphique Skia.