Mai a été un autre mois chargé de mises à jour de sécurité, avec le navigateur Chrome de Google et le système d’exploitation Android, Zoom et iOS d’Apple publiant des correctifs pour corriger de graves vulnérabilités.
Pendant ce temps, les choses ne se sont pas bien déroulées pour Microsoft, qui a été contraint de publier une mise à jour hors bande après un correctif désastreux mardi au cours du mois. Et Cisco, Nvidia, Zoom et VMWare ont tous publié des correctifs pour des défauts urgents.
Voici ce que vous devez savoir.
Apple iOS et iPadOS 15.5, macOS Big Sur 11.6.6, tvOS 15.5, watchOS 8.6
Alors qu’Apple devait annoncer iOS 16 lors de sa conférence mondiale des développeurs en juin, le fabricant d’iPhone a probablement publié sa dernière mise à jour majeure iOS en 15 points en mai. Il est venu avec de nouvelles fonctionnalités, mais iOS et iPadOS 15.5 ont également corrigé 34 vulnérabilités de sécurité, dont certaines sont graves.
Les problèmes de sécurité résolus dans iOS 15.5 incluent des failles dans le noyau, ainsi que dans le moteur de navigateur WebKit, selon la page d’assistance d’Apple. Heureusement, aucun des correctifs publiés dans iOS et iPad 15.5 n’est utilisé dans des attaques, selon la société, mais cela ne signifie pas qu’ils ne le seront pas si vous ne mettez pas à jour maintenant.
Pendant ce temps, les utilisateurs de macOS, tvOS et Apple Watch devraient mettre à jour leurs appareils dès que possible, car Apple a également publié une mise à jour d’urgence pour corriger un problème qui, selon lui, est déjà utilisé dans les attaques. La faille dans Apple AVD, étiquetée CVE-2022-22675, pourrait permettre à une application d’exécuter du code avec les privilèges du noyau. Les problèmes dans le noyau sont aussi graves que possible, il vaut donc la peine de vérifier et de mettre à jour vos appareils immédiatement.
Microsoft Flubbed May Patch Tuesday
Le May Patch Tuesday de Microsoft a été une sorte de désastre pour les entreprises diligentes qui l’ont installé immédiatement.
Le 10 mai, la société a publié des mises à jour de sécurité pour corriger 75 vulnérabilités, huit qualifiées de graves et trois exploitées par des attaquants. Les problèmes résolus dans le Patch Tuesday de mai étaient importants, mais il y a eu rapidement des problèmes pour certains utilisateurs de Microsoft, qui ont signalé des échecs d’authentification après l’installation des dernières mises à jour. Cela a eu un impact sur les personnes utilisant les plates-formes et systèmes Windows client et serveur exécutant toutes les versions de Windows, y compris Windows 11 et Windows Server 2022.
Dans le but de résoudre le problème, la société a été contrainte de publier une mise à jour hors bande pour Windows 10, Windows 11 et Windows Server 2008, 2012, 2016, 2019 et 2022 le 20 mai. La mise à jour ne sera pas installer automatiquement – vous devez le télécharger à partir du catalogue de mises à jour de Microsoft.
Firefox 100.0.2
Début mai, Mozilla a publié Firefox 100, comprenant neuf correctifs de sécurité pour son navigateur Firefox, dont sept ont été classés comme étant de gravité élevée. Mais plus tard en mai, des pirates éthiques du concours Pwn20wn à Vancouver ont pu démontrer comment les attaquants pouvaient exécuter du code JavaScript sur des appareils exécutant le dernier logiciel Mozilla. Mozilla a corrigé les problèmes dans une autre mise à jour Firefox 100.0.2, Firefox ESR 91.9.1, Firefox pour Android 100.3 et Thunderbird 91.9.1. Cliquez sur ces boutons de mise à jour.
Android
La mise à jour de sécurité Android de mai est importante, corrigeant 36 vulnérabilités, y compris un problème déjà exploité par les attaquants. Cette faille exploitée est un bogue d’escalade de privilèges dans le noyau Linux connu sous le nom de “The Dirty Pipe”.
La faille, qui affecte les nouveaux appareils Android exécutant Android 12 et versions ultérieures, a été révélée par Google en février, mais il a fallu un certain temps pour atteindre les appareils.