Apple a publié mercredi des mises à jour de sécurité pour les plateformes iOS, iPadOS et macOS afin de remédier à deux vulnérabilités zero-day précédemment exploitées par des hackers pour compromettre ses appareils.
La liste des vulnérabilités est la suivante
- CVE-2022-32893 – Un problème hors limites dans WebKit qui pourrait conduire à l’exécution de code arbitraire en traitant un contenu web spécialement conçu.
- CVE-2022-32894 – Un problème hors limites dans le noyau du système d’exploitation qui pourrait être exploité par une application malveillante pour exécuter du code arbitraire avec les privilèges les plus élevés.
Apple a déclaré avoir résolu les deux problèmes en améliorant la vérification des limites, ajoutant qu’elle était consciente que les vulnérabilités « pouvaient avoir été activement exploitées ».
La société n’a pas divulgué d’informations supplémentaires concernant ces attaques ou l’identité des hackers qui les ont perpétrées, bien qu’il soit probable qu’elles aient été exploitées dans le cadre d’intrusions très ciblées. Cette dernière mise à jour porte à six le nombre total de failles de sécurité corrigées par Apple depuis le début de l’année.
- CVE-2022-22587 (IOMobileFrameBuffer) – Une application malveillante peut être en mesure d’exécuter du code arbitraire avec les privilèges du noyau.
- CVE-2022-22620 (WebKit) – Le traitement de contenu web malicieusement conçu peut conduire à l’exécution de code arbitraire
- CVE-2022-22674 (Intel Graphics Driver) – Une application peut être en mesure de lire la mémoire du noyau
- CVE-2022-22675 (AppleAVD) – Une application peut être en mesure d’exécuter du code arbitraire avec les privilèges du noyau.
Les deux vulnérabilités ont été corrigées dans iOS 15.6.1, iPadOS 15.6.1 et macOS Monterey 12.5.1. Les mises à jour d’iOS et d’iPadOS sont disponibles pour l’iPhone 6s et ultérieur, l’iPad Pro (tous les modèles), l’iPad Air 2 et ultérieur, l’iPad de 5ème génération et ultérieur, l’iPad mini 4 et ultérieur, et l’iPod touch (7ème génération