macOS : Deux failles viennent d’être patchées dans le noyau

Louis Touzalin
Louis Touzalin
Ce site utilise des liens affiliés qui participent aux revenus du site. En les utilisant, ça ne vous coûte pas plus cher, mais un pourcentage nous est reversé pour continuer à vous informer et à proposer des tests toujours plus complets.

Apple a publié jeudi des correctifs pour deux zero-days affectant macOS et iOS, qui font probablement l’objet d’une exploitation active et pourraient permettre à un acteur menaçant de perturber l’activité du noyau ou d’y accéder.

Apple a publié des mises à jour de sécurité distinctes pour les bogues – une vulnérabilité affectant à la fois macOS et iOS suivie comme CVE-2022-22675 et une faille macOS suivie comme CVE-2022-22674. Leur découverte a été attribuée à un chercheur anonyme.

La CVE-2022-22675 – trouvée dans le composant AppleAVD présent à la fois dans macOS et iOS – pourrait permettre à une application d’exécuter du code arbitraire avec les privilèges du noyau, selon l’avis.

D'autres articles intéressants

Le MediaTek Dimensity 9200 Plus sera lancé le 10 mai en Chine
Wemo : sonnette vidéo intelligente et nouvelle gamme de produits domotique
YouTube Music permettra de programmer l’arrêt de la lecture
Les MacBook Pro M2 d’Apple sortiraient en novembre
Snapdragon 8 Gen 1 : Qualcomm n’est pas satisfait du travail de Samsung

« Un problème d’écriture hors limites a été résolu avec une vérification améliorée des limites », selon l’avis. « Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.« 

macos

CVE-2022-22674 est décrit dans l’avis comme un « problème de lecture hors limites » dans le pilote graphique Intel de macOS qui pourrait permettre à une application de lire la mémoire du noyau. Apple a corrigé ce bogue – qui peut également avoir été activement exploité – en améliorant la validation des entrées, a déclaré la société.

Comme d’habitude, Apple n’a pas divulgué plus de détails sur les problèmes et les exploitations possibles. Elle ne le fera pas tant qu’elle n’aura pas terminé son enquête sur les vulnérabilités, selon l’avis. Toutefois, les clients sont invités à mettre à jour leurs appareils dès que possible pour corriger les bogues.

Ces vulnérabilités représentent les quatrième et cinquième failles de type zero-day corrigées par Apple cette année. Ce nombre est en passe d’atteindre ou de dépasser le nombre de vulnérabilités de ce type auxquelles Apple a dû répondre par des correctifs l’année dernière, soit 12, selon les chercheurs en sécurité de Google, qui tient une feuille de calcul des failles de type zero-day classées par fournisseur.

Pour commencer l’année 2022, en janvier, Apple a corrigé deux bogues de type zero-day, l’un dans les systèmes d’exploitation de ses appareils et l’autre dans le moteur WebKit à la base de son navigateur Safari. Puis, en février, Apple a corrigé un autre bogue WebKit activement exploité, un problème de type « use-after-free » qui permettait aux acteurs de la menace d’exécuter du code arbitraire sur les appareils concernés après qu’ils aient traité du contenu web malveillant.

L’année dernière, l’entreprise a été confrontée à un certain nombre de zero-days WebKit ainsi qu’à d’autres correctifs clés qui ont nécessité des mises à jour d’urgence pour ses différents systèmes d’exploitation, selon la feuille de calcul de Google.

L’une de ces failles a été au centre de l’une des plus grandes controverses de l’année en matière de sécurité : une vulnérabilité de type « zero-click » ciblant iMessage, baptisée « ForcedEntry », que le logiciel espion Pegasus de NSO Group aurait exploitée pour espionner des militants et des journalistes. La situation a finalement conduit à une action en justice contre la société basée en Israël par WhatsApp, filiale de Facebook/Meta, ainsi que par Apple.

0/5 (0 Reviews)
Partager cet article
Laisser une note

Laisser une note

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notre partenaire

H9 Banner 300x600 FR

Réseaux sociaux

Vous aimerez aussi ...