Charles Tech
Actualité

Une 0-Day Webkit vient d'être patché sur iOS et MacOS

Charles Gouin-Peyrot

Publié le 11 février 2022 · 2 min de lecture

iOS
Apple a publié jeudi des mises à jour de sécurité pour iOS, iPadOS, macOS et Safari afin de corriger une nouvelle faille WebKit qui, selon elle, pourrait avoir été activement exploitée dans la nature, ce qui en fait le troisième patch zero-day de la société depuis le début de l'année. Répertorié sous le nom de CVE-2022-22620, le problème concerne une vulnérabilité de type "use-after-free" dans le composant WebKit qui équipe le navigateur web Safari et pourrait être exploité par un contenu web spécialement conçu pour obtenir une exécution de code arbitraire.
"Apple est au courant d'un rapport indiquant que ce problème a pu être activement exploité", a déclaré la société dans une déclaration laconique reconnaissant les attaques sauvages exploitant la faille.
Le fabricant de l'iPhone a remercié un chercheur anonyme d'avoir découvert et signalé la faille, ajoutant qu'il avait remédié au problème en améliorant la gestion de la mémoire. iOS Les mises à jour sont disponibles pour l'iPhone 6s et les versions ultérieures, l'iPad Pro (tous les modèles), l'iPad Air 2 et les versions ultérieures, l'iPad de 5e génération et les versions ultérieures, l'iPad mini 4 et les versions ultérieures, l'iPod touch (7e génération), les appareils macOS fonctionnant sous Big Sur et macOS Catalina, ainsi qu'une mise à jour autonome pour Safari. Ce dernier correctif porte à trois le nombre de correctifs de type "zero-day" publiés par Apple pour 2022, dont CVE-2022-22587 et CVE-2022-22594, qui auraient pu être exploités pour exécuter du code arbitraire et suivre l'activité en ligne des utilisateurs dans le navigateur web.

L'auteur

Charles Gouin-Peyrot

Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.