Apple a déployé mercredi des correctifs logiciels pour iOS, iPadOS, macOS, tvOS et watchOS afin de corriger un certain nombre de failles de sécurité affectant ses plateformes.
Il s’agit d’au moins 37 failles couvrant différents composants d’iOS et de macOS qui vont de l’élévation de privilèges à l’exécution de code arbitraire et de la divulgation d’informations au déni de service (DoS).
La principale d’entre elles est la CVE-2022-2294, une faille de corruption de la mémoire dans le composant WebRTC que Google a révélée au début du mois comme ayant été exploitée dans des attaques réelles visant des utilisateurs du navigateur Chrome. Il n’y a cependant aucune preuve d’une exploitation zero-day de la faille dans la nature visant iOS, macOS et Safari.
Les mises à jour corrigent également plusieurs failles d’exécution de code arbitraire ayant un impact sur Apple Neural Engine (CVE-2022-32810, CVE-2022-32829 et CVE-2022-32840), Audio (CVE-2022-32820), GPU Drivers (CVE-2022-32821), ImageIO (CVE-2022-32802), IOMobileFrameBuffer (CVE-2022-26768), Kernel (CVE-2022-32813 et CVE-2022-32815), et WebKit (CVE-2022-32792).
Sont également corrigés un contournement de Pointer Authentication affectant le noyau (CVE-2022-32844), un bogue DoS dans le composant ImageIO (CVE-2022-32785), et deux failles d’élévation de privilèges dans AppleMobileFileIntegrity et File System Events (CVE-2022-32819 et CVE-2022-32826).
De plus, la dernière version de macOS résout cinq vulnérabilités de sécurité dans le module SMB qui pourraient être potentiellement exploitées par une application malveillante pour obtenir des privilèges élevés, fuir des informations sensibles et exécuter du code arbitraire avec les privilèges du noyau.
Il est recommandé aux utilisateurs d’appareils Apple d’effectuer une mise à jour vers iOS 15.6, iPadOS 15.6, macOS Monterey 12.5 (Big Sur 11.6.8 ou 2022-005 Catalina pour les Mac d’ancienne génération), tvOS 15.6 et watchOS 8.7 afin de bénéficier des dernières protections de sécurité.