Le mois d’août était un mois exceptionnel pour les correctifs de sécurité, avec Apple, Google et Microsoft parmi les entreprises émettant des correctifs d’urgence pour les vulnérabilités déjà exploitées. Le mois a également vu arriver de gros correctifs de la part de VMWare, Cisco, IBM et Zimbra.
Voici tout ce que vous devez savoir sur les importants correctifs de sécurité publiés en août.
AppleiOS 15.6.1
Après une interruption de correctif de deux mois, suivie de plusieurs correctifs en juillet, Apple a publié une mise à jour de sécurité d’urgence en août avec iOS 15.6.1. La mise à jour iOS a corrigé deux failles, toutes deux utilisées par des attaquants dans la nature.
On pense que les vulnérabilités de WebKit (CVE-2022-32893) et du noyau (CVE-2022-32894) étaient enchaînées dans des attaques, avec de graves conséquences. Une attaque réussie pourrait permettre à un adversaire de prendre le contrôle de votre iPhone et d’accéder à vos fichiers sensibles et à vos coordonnées bancaires.
La combinaison des deux failles “fournit généralement toutes les fonctionnalités nécessaires pour monter un jailbreak d’appareil”, contournant presque toutes les restrictions de sécurité imposées par Apple, a écrit Paul Ducklin, chercheur principal chez Sophos, dans un blog analysant les vulnérabilités. Cela permettrait potentiellement aux adversaires «d’installer des logiciels espions en arrière-plan et de vous maintenir sous surveillance complète», a expliqué Ducklin.
Apple évite toujours de donner des détails sur les vulnérabilités jusqu’à ce que la plupart des gens aient mis à jour, il est donc difficile de savoir qui étaient les cibles de l’attaque. Pour assurer votre sécurité, vous devez mettre à jour vos appareils vers iOS 15.6.1 sans délai.
Apple a également publié iPadOS 15.6.1, watchOS 8.7.1 et macOS Monterey 12.5.1, que vous devriez tous mettre à jour à la prochaine occasion.
Google Chrome
Google a publié une mise à jour de sécurité en août pour corriger sa cinquième faille zero-day cette année. Dans un avis, Google a répertorié 11 vulnérabilités corrigées en août. Les correctifs incluent une faille d’utilisation après libération dans FedCM, suivie comme CVE-2022-2852 et classée comme critique, ainsi que six problèmes hautement notés et trois classés comme ayant un impact moyen. L’une des vulnérabilités les plus cotées a été exploitée par des attaquants, CVE-2022-2856.
Google n’a fourni aucun détail sur la faille exploitée, mais puisque les attaquants ont obtenu les détails, c’est une bonne idée de mettre à jour Chrome maintenant.
Plus tôt en août, Google a publié Chrome 104, corrigeant 27 vulnérabilités, dont sept ont été considérées comme ayant un impact élevé.
Google Androïd
Le correctif de sécurité Android d’août était lourd, avec des dizaines de correctifs pour les vulnérabilités graves, y compris une faille dans le cadre qui pourrait conduire à une élévation des privilèges locaux sans privilèges supplémentaires nécessaires. Pendant ce temps, un problème dans le cadre multimédia pourrait conduire à la divulgation d’informations à distance, et une faille dans le système pourrait conduire à l’exécution de code à distance via Bluetooth. Une vulnérabilité dans les composants du noyau pourrait également entraîner une élévation locale des privilèges.
Le correctif de sécurité Android était fin août, mais il est désormais disponible sur des appareils tels que la gamme Pixel de Google, le Nokia T20 et les appareils Samsung Galaxy (y compris la série Galaxy S, la série Galaxy Note, la série Galaxy Fold et la série Galaxy Flip).
Microsoft
Le correctif d’août de Microsoft a corrigé plus de 100 failles de sécurité, dont 17 sont considérées comme critiques. Parmi les correctifs figurait un correctif pour une faille déjà exploitée identifiée comme CVE-2022-34713, également connue sous le nom de DogWalk.
La faille d’exécution de code à distance (RCE) dans l’outil de diagnostic de support Windows (MDST) est considérée comme ayant un impact élevé car son exploitation peut entraîner une compromission du système. La vulnérabilité, qui affecte tous les utilisateurs de Windows et de Windows Server, a été exposée pour la première fois il y a plus de deux ans en janvier 2020, mais Microsoft ne la considérait pas comme un problème de sécurité à l’époque.
VMWare
VMWare a corrigé un tas de failles en août, y compris un bogue de contournement d’authentification critique suivi comme CVE-2022-31656. Lors de la publication du correctif, la société de logiciels a averti que le code d’exploitation public était disponible.
VMWare a également corrigé une vulnérabilité RCE dans VMware Workspace ONE Access, Identity Manager et Aria Automation (anciennement vRealize Automation), suivie comme CVE-2022-31658 avec un score CVSS de huit. Pendant ce temps, une vulnérabilité RCE d’injection SQL trouvée dans VMware Workspace ONE Access et Identity Manager a également obtenu un score CVSS de huit. Les deux nécessitent qu’un attaquant dispose d’un accès administrateur et réseau avant de pouvoir déclencher l’exécution de code à distance.