Février a été un gros mois pour les mises à jour de sécurité, avec des entreprises comme Apple, Microsoft et Google qui publient des correctifs pour corriger de graves vulnérabilités. Pendant ce temps, un certain nombre de bogues d’entreprise ont été éliminés par des entreprises telles que VMware, SAP et Citrix.
Les failles corrigées au cours du mois incluent plusieurs qui étaient utilisées dans des attaques réelles, il vaut donc la peine de vérifier que votre logiciel est à jour.
Voici tout ce que vous devez savoir sur les mises à jour de sécurité publiées ce mois-ci.
Apple iOS et iPadOS 16.3.1
Quelques semaines seulement après la sortie d’iOS 16.3, Apple a publié iOS et iPadOS 16.3.1, un correctif d’urgence pour corriger les vulnérabilités qui incluaient une faille dans le moteur de navigateur WebKit qui était déjà utilisé dans les attaques.
Suivi sous le nom de CVE-2023-23529, le bogue déjà exploité pourrait conduire à l’exécution de code arbitraire, a averti Apple sur sa page d’assistance. “Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité”, a ajouté la société. Une autre faille corrigée dans iOS 16.3.1 se trouve dans le noyau au cœur du système d’exploitation de l’iPhone. Le bogue, qui est suivi comme CVE-2023-23514, pourrait permettre à un attaquant d’exécuter du code arbitraire avec les privilèges du noyau.
Plus tard dans le mois, Apple a documenté une autre vulnérabilité corrigée dans iOS 16.3.1, CVE-2023-23524. Signalée par David Benjamin, ingénieur logiciel chez Google, la faille pourrait permettre une attaque par déni de service via un certificat construit de manière malveillante.
Apple a également publié macOS Ventura 13.2.1, tvOS 16.3.2 et watchOS 9.3.1 au cours du mois.
Microsoft
À la mi-février, Microsoft a averti que son Patch Tuesday avait corrigé 76 vulnérabilités de sécurité, dont trois sont déjà utilisées dans des attaques. Sept des failles sont marquées comme critiques, selon le guide de mise à jour de Microsoft.
Suivi sous le nom de CVE-2023-21823, l’un des bogues les plus graves déjà exploités dans le composant graphique Windows pourrait permettre à un attaquant d’obtenir des privilèges système.
Une autre faille déjà exploitée, CVE-2023-21715, est un problème de contournement de fonctionnalité dans Microsoft Publisher, tandis que CVE-2023-23376 est une vulnérabilité d’élévation de privilèges dans le pilote du système de fichiers journaux commun de Windows.
Cela fait beaucoup de failles zero-day corrigées dans une seule version, alors prenez-la comme une invite pour mettre à jour vos systèmes basés sur Microsoft dès que possible.
Google Androïd
La mise à jour de sécurité d’Android de février est arrivée, corrigeant plusieurs vulnérabilités dans les appareils exécutant le logiciel pour smartphone du géant de la technologie. Le plus grave de ces problèmes est une vulnérabilité de sécurité dans le composant Framework qui pourrait conduire à une élévation locale des privilèges sans qu’aucun privilège supplémentaire ne soit nécessaire, a noté Google dans un avis.
Parmi les problèmes résolus dans le cadre, huit sont classés comme ayant un impact élevé. Pendant ce temps, Google a éliminé six bogues dans le noyau, ainsi que des failles dans les composants System, MediaTek et Unisoc.
Au cours du mois, Google a corrigé plusieurs failles d’escalade de privilèges, ainsi que des vulnérabilités de divulgation d’informations et de déni de service. La société a également publié un correctif pour trois problèmes de sécurité spécifiques à Pixel. Le correctif Android de février est déjà disponible pour les appareils Pixel de Google, tandis que Samsung a agi rapidement pour publier la mise à jour aux utilisateurs de sa série Galaxy Note 20.
Google Chrome
Google a publié Chrome 110 pour son navigateur, corrigeant 15 vulnérabilités de sécurité, dont trois sont considérées comme ayant un impact élevé. Suivi sous le nom de CVE-2023-0696, le premier d’entre eux est un bogue de confusion de type dans le moteur JavaScript V8, a écrit Google dans un avis de sécurité.
Pendant ce temps, CVE-2023-0697 est une faille qui permet une implémentation inappropriée en mode plein écran, et CVE-2023-0698 est une faille de lecture hors limites dans WebRTC. Quatre vulnérabilités de gravité moyenne incluent une utilisation après libération dans GPU, une faille de dépassement de mémoire tampon dans WebUI et une vulnérabilité de confusion de type dans Data Transfer. Deux autres défauts sont classés comme ayant un faible impact.