Apple a rétroporté des correctifs pour une faille de sécurité critique récemment révélée affectant les appareils plus anciens, citant des preuves d’exploitation active.
Le problème, identifié comme CVE-2022-42856, est une vulnérabilité de confusion de type dans le moteur de navigateur WebKit qui pourrait entraîner l’exécution de code arbitraire lors du traitement de contenu Web conçu de manière malveillante.
Bien qu’il ait été initialement traité par la société le 30 novembre 2022, dans le cadre de la mise à jour iOS 16.1.2, le correctif a été étendu à un ensemble plus large d’appareils Apple avec iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 et Safari 16.2.
« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité contre des versions d’iOS publiées avant iOS 15.1 », a déclaré le fabricant d’iPhone. m’a dit dans un avis publié lundi.
À cette fin, la dernière mise à jour, iOS 12.5.7, est disponible pour iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération).
Clément Lecigne du Threat Analysis Group (TAG) de Google a été crédité d’avoir découvert la vulnérabilité, bien que les détails exacts entourant les tentatives d’exploitation dans la nature soient actuellement inconnus.
La mise à jour arrive comme Apple libéré iOS 16.3, iPadOS 16.3, macOS Ventura 13.2, watchOS 9.3 et Safari 16.3 pour corriger une longue liste de failles de sécurité, notamment deux bogues dans WebKit pouvant conduire à l’exécution de code.
macOS Ventura 13.2 corrige également deux vulnérabilités de déni de service dans ImageIO et Safari, ainsi que trois failles dans le noyau qui pourraient être exploitées pour divulguer des informations sensibles, déterminer sa disposition de mémoire et exécuter du code malveillant avec des privilèges élevés.
Ce ne sont pas toutes des corrections de bogues, cependant. Les mises à jour apportent également la possibilité d’utiliser des clés de sécurité matérielles pour verrouiller les identifiants Apple pour une authentification à deux facteurs résistante au phishing. Ils étendent également la disponibilité de la protection avancée des données en dehors des États-Unis
