Apple a publié jeudi des correctifs pour deux zero-days affectant macOS et iOS, qui font probablement l’objet d’une exploitation active et pourraient permettre à un acteur menaçant de perturber l’activité du noyau ou d’y accéder.
Apple a publié des mises à jour de sécurité distinctes pour les bogues – une vulnérabilité affectant à la fois macOS et iOS suivie comme CVE-2022-22675 et une faille macOS suivie comme CVE-2022-22674. Leur découverte a été attribuée à un chercheur anonyme.
La CVE-2022-22675 – trouvée dans le composant AppleAVD présent à la fois dans macOS et iOS – pourrait permettre à une application d’exécuter du code arbitraire avec les privilèges du noyau, selon l’avis.
« Un problème d’écriture hors limites a été résolu avec une vérification améliorée des limites », selon l’avis. « Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.«
CVE-2022-22674 est décrit dans l’avis comme un « problème de lecture hors limites » dans le pilote graphique Intel de macOS qui pourrait permettre à une application de lire la mémoire du noyau. Apple a corrigé ce bogue – qui peut également avoir été activement exploité – en améliorant la validation des entrées, a déclaré la société.
Comme d’habitude, Apple n’a pas divulgué plus de détails sur les problèmes et les exploitations possibles. Elle ne le fera pas tant qu’elle n’aura pas terminé son enquête sur les vulnérabilités, selon l’avis. Toutefois, les clients sont invités à mettre à jour leurs appareils dès que possible pour corriger les bogues.
Ces vulnérabilités représentent les quatrième et cinquième failles de type zero-day corrigées par Apple cette année. Ce nombre est en passe d’atteindre ou de dépasser le nombre de vulnérabilités de ce type auxquelles Apple a dû répondre par des correctifs l’année dernière, soit 12, selon les chercheurs en sécurité de Google, qui tient une feuille de calcul des failles de type zero-day classées par fournisseur.
Pour commencer l’année 2022, en janvier, Apple a corrigé deux bogues de type zero-day, l’un dans les systèmes d’exploitation de ses appareils et l’autre dans le moteur WebKit à la base de son navigateur Safari. Puis, en février, Apple a corrigé un autre bogue WebKit activement exploité, un problème de type « use-after-free » qui permettait aux acteurs de la menace d’exécuter du code arbitraire sur les appareils concernés après qu’ils aient traité du contenu web malveillant.
L’année dernière, l’entreprise a été confrontée à un certain nombre de zero-days WebKit ainsi qu’à d’autres correctifs clés qui ont nécessité des mises à jour d’urgence pour ses différents systèmes d’exploitation, selon la feuille de calcul de Google.
L’une de ces failles a été au centre de l’une des plus grandes controverses de l’année en matière de sécurité : une vulnérabilité de type « zero-click » ciblant iMessage, baptisée « ForcedEntry », que le logiciel espion Pegasus de NSO Group aurait exploitée pour espionner des militants et des journalistes. La situation a finalement conduit à une action en justice contre la société basée en Israël par WhatsApp, filiale de Facebook/Meta, ainsi que par Apple.