Apple a corrigé lundi une vulnérabilité zero-day de haute gravité qui donne aux attaquants la possibilité d’exécuter à distance un code malveillant qui s’exécute avec les privilèges les plus élevés dans le noyau du système d’exploitation des iPhones et iPads entièrement à jour.
Dans un avis, Apple a déclaré que CVE-2022-42827, au fur et à mesure que la vulnérabilité est suivie, “peut avoir été activement exploitée”, en utilisant une expression qui est le jargon de l’industrie pour indiquer qu’une vulnérabilité jusque-là inconnue est exploitée. Le défaut de corruption de la mémoire est le résultat d’une “écriture hors limites”, ce qui signifie que le logiciel Apple plaçait du code ou des données en dehors d’un tampon protégé. Les pirates exploitent souvent ces vulnérabilités afin de canaliser le code malveillant dans les régions sensibles d’un système d’exploitation, puis de le faire s’exécuter.
La vulnérabilité a été signalée par un “chercheur anonyme”, a déclaré Apple, sans donner plus de détails.
Cette feuille de calcul maintenue par les chercheurs de Google a montré qu’Apple a corrigé sept jours zéro jusqu’à présent cette année, sans compter CVE-2022-42827. Compter ce dernier porterait à huit le total du jour zéro d’Apple pour 2022. Bleeping Computer, cependant, a déclaré que CVE-2022-42827 est le neuvième correctif zéro jour d’Apple au cours des 10 derniers mois.
Publicité
Les zero-days sont des vulnérabilités qui sont découvertes et activement divulguées ou exploitées avant que le fournisseur responsable n’ait eu la possibilité de publier un correctif corrigeant la faille. Un seul jour zéro se vend souvent pour 1 million de dollars ou plus. Pour protéger leur investissement, les attaquants qui ont accès aux zero-days travaillent généralement pour des États-nations ou d’autres organisations aux poches profondes et exploitent les vulnérabilités dans des campagnes très ciblées. Une fois que le fournisseur apprend l’existence du jour zéro, il est généralement corrigé rapidement, ce qui fait chuter la valeur de l’exploit.
L’économie rend hautement improbable que la plupart des gens aient été ciblés par cette vulnérabilité. Maintenant qu’un correctif est disponible, cependant, d’autres attaquants auront la possibilité de le désosser pour créer leurs propres exploits à utiliser contre des appareils non corrigés. Les utilisateurs concernés, y compris ceux qui utilisent l’iPhone 8 et les versions ultérieures, les iPad Pro, l’iPad Air de 3e génération et les versions ultérieures, l’iPad de 5e génération et les versions ultérieures et l’iPad mini de 5e génération et les versions ultérieures, doivent s’assurer qu’ils utilisent iOS 16.1 ou iPadOS 16.
Outre CVE-2022-42827, les mises à jour corrigent 19 autres vulnérabilités de sécurité, dont deux dans le noyau, trois dans le protocole point à point, deux dans WebKit et une dans AppleMobileFileIntegrity, Core Bluetooth, IOKit et ce bac à sable iOS.
Message mis à jour pour changer “rushes out” en “releases” dans le titre et ajouter “aussi” dans le pont inférieur.
