Apple publie des mises à jour iOS et macOS pour corriger la vulnérabilité 0-Day activement exploitée

Actualizaciones de iOS y iPadOS Des nouvelles

Pomme mercredi publié iOS 15.3 et macOS Monterey 12.2 avec un correctif pour le bogue qui nuit à la confidentialité dans Safari, ainsi que pour contenir une faille zero-day, qui, selon elle, a été exploitée à l’état sauvage pour s’introduire dans ses appareils.

Suivi comme CVE-2022-22587la vulnérabilité concerne un problème de corruption de la mémoire dans le composant IOMobileFrameBuffer qui pourrait être exploité par une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau.

Le fabricant d’iPhone a déclaré qu’il était « au courant d’un rapport selon lequel ce problème aurait pu être activement exploité », ajoutant qu’il avait résolu le problème avec une meilleure validation des entrées. Il n’a pas révélé la nature des attaques, leur ampleur ou l’identité des acteurs de la menace qui les exploitent.

Un chercheur anonyme avec Meysam Firouzi et Siddharth Aeri ont été crédités d’avoir découvert et signalé la faille.

CVE-2022-22587 est la troisième vulnérabilité zero-day découverte dans IOMobileFrameBuffer en six mois après CVE-2021-30807 et CVE-2021-30883. En décembre 2021, Apple a résolu quatre faiblesses supplémentaires dans l’extension du noyau utilisée pour gérer le framebuffer de l’écran.

Le géant de la technologie a également corrigé une vulnérabilité récemment révélée dans Safari qui découlait d’une implémentation défectueuse du API IndexedDB (CVE-2022-22594), qui pourrait être exploité par un site Web malveillant pour suivre l’activité en ligne des utilisateurs dans le navigateur Web et même révéler leur identité.

D’autres défauts à noter incluent –

  • CVE-2022-22584 – Un problème de corruption de la mémoire dans ColorSync pouvant conduire à l’exécution de code arbitraire lors du traitement d’un fichier malveillant construit
  • CVE-2022-22578 – Un problème de logique dans Crash Reporter qui pourrait permettre à une application malveillante d’obtenir les privilèges root
  • CVE-2022-22585 – Un problème de validation de chemin dans iCloud qui pourrait être exploité par une application malveillante pour accéder aux fichiers d’un utilisateur
  • CVE-2022-22591 – Un problème de corruption de la mémoire dans le pilote graphique Intel qui pourrait être exploité par une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau
  • CVE-2022-22593 – Un problème de débordement de tampon dans le noyau qui pourrait être exploité par une application malveillante pour exécuter du code arbitraire avec les privilèges du noyau
  • CVE-2022-22590 – Un problème d’utilisation après libération dans WebKit qui peut entraîner l’exécution de code arbitraire lors du traitement de contenu Web conçu de manière malveillante

le mises à jour sont disponibles pour iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures, iPod touch (7e génération) et appareils macOS exécutant Grand Sur, Catalinaet Monterey.

David
Rate author
Hackarizona