macOS : Deux failles viennent d'être patchées dans le noyau
Charles Gouin-Peyrot
Publié le 04 avril 2022 · 3 min de lecture
"Un problème d'écriture hors limites a été résolu avec une vérification améliorée des limites", selon l'avis. "Apple a connaissance d'un rapport selon lequel ce problème pourrait avoir été activement exploité."
CVE-2022-22674 est décrit dans l'avis comme un "problème de lecture hors limites" dans le pilote graphique Intel de macOS qui pourrait permettre à une application de lire la mémoire du noyau. Apple a corrigé ce bogue - qui peut également avoir été activement exploité - en améliorant la validation des entrées, a déclaré la société.
Comme d'habitude, Apple n'a pas divulgué plus de détails sur les problèmes et les exploitations possibles. Elle ne le fera pas tant qu'elle n'aura pas terminé son enquête sur les vulnérabilités, selon l'avis. Toutefois, les clients sont invités à mettre à jour leurs appareils dès que possible pour corriger les bogues.
Ces vulnérabilités représentent les quatrième et cinquième failles de type zero-day corrigées par Apple cette année. Ce nombre est en passe d'atteindre ou de dépasser le nombre de vulnérabilités de ce type auxquelles Apple a dû répondre par des correctifs l'année dernière, soit 12, selon les chercheurs en sécurité de Google, qui tient une feuille de calcul des failles de type zero-day classées par fournisseur.
Pour commencer l'année 2022, en janvier, Apple a corrigé deux bogues de type zero-day, l'un dans les systèmes d'exploitation de ses appareils et l'autre dans le moteur WebKit à la base de son navigateur Safari. Puis, en février, Apple a corrigé un autre bogue WebKit activement exploité, un problème de type "use-after-free" qui permettait aux acteurs de la menace d'exécuter du code arbitraire sur les appareils concernés après qu'ils aient traité du contenu web malveillant.
L'année dernière, l'entreprise a été confrontée à un certain nombre de zero-days WebKit ainsi qu'à d'autres correctifs clés qui ont nécessité des mises à jour d'urgence pour ses différents systèmes d'exploitation, selon la feuille de calcul de Google.
L'une de ces failles a été au centre de l'une des plus grandes controverses de l'année en matière de sécurité : une vulnérabilité de type "zero-click" ciblant iMessage, baptisée "ForcedEntry", que le logiciel espion Pegasus de NSO Group aurait exploitée pour espionner des militants et des journalistes. La situation a finalement conduit à une action en justice contre la société basée en Israël par WhatsApp, filiale de Facebook/Meta, ainsi que par Apple. L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.