Apple a déployé jeudi des correctifs d’urgence pour corriger deux failles zero-day dans son mobile et systèmes d’exploitation de bureau qu’il a dit peut avoir été exploité à l’état sauvage.
Les lacunes ont été corrigées dans le cadre des mises à jour d’iOS et iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 et watchOS 8.5.1. Les deux vulnérabilités ont été signalées à Apple de manière anonyme.
Suivi comme CVE-2022-22675le problème a été décrit comme un écriture hors limites vulnérabilité dans un composant de décodage audio et vidéo appelé AppleAVD qui pourrait permettre à une application d’exécuter du code arbitraire avec les privilèges du noyau.
Apple a déclaré que le défaut avait été résolu grâce à une vérification améliorée des limites, ajoutant qu’il était conscient que « ce problème peut avoir été activement exploité ».
La dernière version de macOS Monterey, en plus de corriger CVE-2022-22675, inclut également une correction pour CVE-2022-22674une lecture hors limites problème dans le module Intel Graphics Driver qui pourrait permettre à un acteur malveillant de lire la mémoire du noyau.
Le bogue a été « traité avec une meilleure validation des entrées », a noté le fabricant d’iPhone, déclarant une fois de plus qu’il existe des preuves d’exploitation active, tout en retenant des détails supplémentaires pour éviter de nouveaux abus.
Les dernières mises à jour portent à quatre le nombre total de zero-days activement exploités par Apple depuis le début de l’année, sans parler d’une faille révélée publiquement dans l’API IndexedDB (CVE-2022-22594), qui pourrait être militarisée par un programme malveillant. site Web pour suivre l’activité en ligne et les identités des utilisateurs dans le navigateur Web.
- CVE-2022-22587 (IOMobileFrameBuffer) – Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
- CVE-2022-22620 (WebKit) – Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
À la lumière de l’exploitation active des failles, il est fortement recommandé aux utilisateurs Apple iPhone, iPad et Mac de mettre à niveau vers les dernières versions du logiciel dès que possible pour atténuer les menaces potentielles.
Les mises à jour iOS et iPad sont disponibles pour iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération).