Apple a publié jeudi des correctifs pour deux vulnérabilités critiques du jour zéro dans les iPhones, iPads et Mac qui donnent aux pirates un accès dangereux aux composants internes des systèmes d’exploitation sur lesquels les appareils fonctionnent.
Apple a attribué à un chercheur anonyme la découverte des deux vulnérabilités. La première vulnérabilité, CVE-2022-22675, réside dans macOS pour Monterey et dans iOS ou iPadOS pour la plupart des modèles d’iPhone et d’iPad. La faille, qui découle d’un problème d’écriture hors limites, donne aux pirates la possibilité d’exécuter du code malveillant qui s’exécute avec les privilèges du noyau, la région la plus sensible à la sécurité du système d’exploitation. CVE-2022-22674, quant à lui, résulte également d’un problème de lecture hors limites qui peut conduire à la divulgation de la mémoire du noyau.
Apple a divulgué des détails rudimentaires sur les défauts ici et ici. “Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité”, a écrit la société à propos des deux vulnérabilités.
Publicité
Pluie de jours zéro Apple
CVE-2022-22674 et CVE-2022-22675 sont les quatrième et cinquième zero-days corrigés par Apple cette année. En janvier, la société a publié des correctifs pour iOS, iPadOS, macOS Monterey, watchOS, tvOS et HomePod Software afin de corriger une faille de corruption de mémoire zero-day qui pourrait donner aux exploiteurs la possibilité d’exécuter du code avec les privilèges du noyau. Le bogue, suivi comme CVE-2022-22587, résidait dans le IOMobileFrameBuffer. Une vulnérabilité distincte, CVE-2022-22594, a permis aux sites Web de suivre les informations sensibles des utilisateurs. Le code d’exploitation de cette vulnérabilité a été rendu public avant la publication du correctif.
Apple a publié en février un correctif pour une utilisation après bogue gratuit dans le moteur de navigateur Webkit qui a donné aux attaquants la possibilité d’exécuter du code malveillant sur les iPhones, iPads et iTouches. Apple a déclaré que les rapports reçus indiquaient que la vulnérabilité – CVE-2022-22620 – aurait également pu être activement exploitée.
Une feuille de calcul que les chercheurs en sécurité de Google maintiennent pour suivre les zéro-jours montre qu’Apple a corrigé un total de 12 vulnérabilités de ce type en 2021. Parmi celles-ci figurait une faille dans iMessage que le framework de logiciels espions Pegasus ciblait à l’aide d’un exploit zéro clic, ce qui signifie que les appareils ont été infectés simplement par recevoir un message malveillant, sans qu’aucune action de l’utilisateur ne soit requise. Deux zero-days corrigés par Apple en mai ont permis aux attaquants d’infecter des appareils entièrement à jour.