Apple se précipite sur les correctifs pour deux jours zéro menaçant les utilisateurs d’iOS et de macOS

Apple a publié jeudi des correctifs pour deux vulnérabilités critiques du jour zéro dans les iPhones, iPads et Mac qui donnent aux pirates un accès dangereux aux composants internes des systèmes d’exploitation sur lesquels les appareils fonctionnent.

Apple a attribué à un chercheur anonyme la découverte des deux vulnérabilités. La première vulnérabilité, CVE-2022-22675, réside dans macOS pour Monterey et dans iOS ou iPadOS pour la plupart des modèles d’iPhone et d’iPad. La faille, qui découle d’un problème d’écriture hors limites, donne aux pirates la possibilité d’exécuter du code malveillant qui s’exécute avec les privilèges du noyau, la région la plus sensible à la sécurité du système d’exploitation. CVE-2022-22674, quant à lui, résulte également d’un problème de lecture hors limites qui peut conduire à la divulgation de la mémoire du noyau.

Apple a divulgué des détails rudimentaires sur les défauts ici et ici. “Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité”, a écrit la société à propos des deux vulnérabilités.

Publicité

Pluie de jours zéro Apple

CVE-2022-22674 et CVE-2022-22675 sont les quatrième et cinquième zero-days corrigés par Apple cette année. En janvier, la société a publié des correctifs pour iOS, iPadOS, macOS Monterey, watchOS, tvOS et HomePod Software afin de corriger une faille de corruption de mémoire zero-day qui pourrait donner aux exploiteurs la possibilité d’exécuter du code avec les privilèges du noyau. Le bogue, suivi comme CVE-2022-22587, résidait dans le IOMobileFrameBuffer. Une vulnérabilité distincte, CVE-2022-22594, a permis aux sites Web de suivre les informations sensibles des utilisateurs. Le code d’exploitation de cette vulnérabilité a été rendu public avant la publication du correctif.

Apple a publié en février un correctif pour une utilisation après bogue gratuit dans le moteur de navigateur Webkit qui a donné aux attaquants la possibilité d’exécuter du code malveillant sur les iPhones, iPads et iTouches. Apple a déclaré que les rapports reçus indiquaient que la vulnérabilité – CVE-2022-22620 – aurait également pu être activement exploitée.

Une feuille de calcul que les chercheurs en sécurité de Google maintiennent pour suivre les zéro-jours montre qu’Apple a corrigé un total de 12 vulnérabilités de ce type en 2021. Parmi celles-ci figurait une faille dans iMessage que le framework de logiciels espions Pegasus ciblait à l’aide d’un exploit zéro clic, ce qui signifie que les appareils ont été infectés simplement par recevoir un message malveillant, sans qu’aucune action de l’utilisateur ne soit requise. Deux zero-days corrigés par Apple en mai ont permis aux attaquants d’infecter des appareils entièrement à jour.

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire

Regardez les Steelers de Pittsburgh contre les Browns de Cleveland lors du football du jeudi soir

Thursday Night Football – c'est-à-dire les matchs de la NFL du jeudi soir – sont maintenant sur Amazon Prime Video et uniquement en streaming...

Revue Focal Utopia : préparez-vous à des expériences audio révélatrices

En un coup d'œilNote d'expert AvantagesDes performances époustouflantesConnexions équilibrées et déséquilibréesBeau design et qualité de construction exceptionnelleIncroyablement confortable pour les longues sessions d'écouteLes inconvénientsLes marquages...

Modder transforme les toilettes en un PC de jeu entièrement fonctionnel

En bref : les smartphones, les consoles de jeux portables et même les ordinateurs portables ont le droit de jouer à des jeux haut de...