Apple a fait l’objet de nouvelles critiques après avoir précipité une série de correctifs pour corriger deux jours zéro distincts dans son système d’exploitation macOS Monterey et divers modèles d’iPhone et d’iPad, mais n’a pas fourni de mise à jour pour les ordinateurs Mac plus anciens avec macOS Catalina et offrant Big Sur.
CVE-2020-22674 dans le pilote graphique Intel et CVE-2022-22675 dans le cadre vidéo et de décodage AppleAVD sont différents, un problème de lecture hors limites et un problème d’écriture hors limites qui exposent dangereusement le noyau de l’appareil à un attaquant potentiel fonctionnant dans le pire des cas, pourrait prendre le contrôle complet de l’appareil de la victime.
« C’est la première fois depuis la sortie de macOS Monterey qu’Apple ne parvient pas à corriger des vulnérabilités activement exploitées pour Big Sur et Catalina », a déclaré Joshua Long, analyste en chef de la sécurité chez Intego, un fournisseur spécialisé de services de sécurité pour les utilisateurs d’Apple. « Les trois précédentes vulnérabilités activement exploitées ont chacune été corrigées simultanément pour Monterey, Big Sur et Catalina. »
Selon Long, la rétro-ingénierie du patch a révélé que macOS 11, alias Big Sur, sorti le 12 novembre 2020, est vulnérable à CVE-202-22675, bien que la version 10.15, sortie le 7 octobre 2019, soit, elle aussi, trop connue. comme Catalina, ce n’est pas Catalina n’utilise pas AppleAVD. Il a ajouté qu’il est probable que Big Sur et Catalina soient vulnérables à CVE-2022-22674, bien que des travaux soient en cours pour le confirmer.
« Nous sommes convaincus que CVE-2022-22674 est susceptible d’affecter à la fois macOS Big Sur et macOS Catalina. Presque toutes les vulnérabilités du composant du pilote graphique Intel au cours des dernières années ont affecté toutes les versions de macOS », a-t-il déclaré.
Long a déclaré que les systèmes Mac exécutant Catalina et Big Sur représentent probablement entre 35% et 40% de la base installée actuelle d’Apple, bien que ce soit un nombre inexact car Apple ne fait plus la distinction entre les versions macOs dans les chaînes d’agent utilisateur du navigateur, ce qui rend la tâche beaucoup plus difficile pour les étrangers. pour les différencier.
La décision de ne pas corriger Catalina et Big Sur est une sorte de départ pour Apple, qui est notoirement secret sur ses politiques de correctifs, mais a généralement publié des correctifs pour la version actuelle et les deux précédentes versions majeures de macOS, généralement en même temps.
Long a ajouté que le problème pourrait également affecter d’autres versions de macOS. Des recherches menées l’année dernière par Intego avant la sortie de Monterey ont révélé que 48 % des plus de 400 vulnérabilités corrigées par Apple ont été corrigées sur les trois versions prises en charge de macOS (alors Catalina, Big Sur et Mojave), mais que 34 % n’ont été corrigées que pour Catalina et Big Sur et 16% ont été corrigés uniquement pour Big Sur. Parmi ceux qui étaient activement exploités au moment de la divulgation – en d’autres termes, les zéro-jours – tous ces chiffres ont augmenté.
« Apple a la fâcheuse histoire de laisser sciemment les versions macOS « prises en charge » vulnérables à certaines attaques activement exploitées. Ce type de scénario, où un fournisseur choisit de ne pas publier de correctif, est parfois appelé « jour zéro perpétuel », a déclaré Long.
Long a déclaré que le seul moyen pour l’utilisateur moyen de s’assurer que son Mac est aussi sécurisé que possible est de passer à Monterey, bien que des problèmes de compatibilité rendent cela impossible pour beaucoup. « [But] la personne moyenne ne le saura jamais car Apple publie toujours des correctifs pour Big Sur et Catalina, la dernière fois il y a à peine trois semaines, le 15 mars. Ce que la plupart des gens ne réalisent pas, c’est que les correctifs d’Apple pour ces versions de macOS sont incomplets », a-t-il déclaré.
Ce n’est pas la première fois ces derniers mois que Cupertino est critiqué par des experts en sécurité pour ses pratiques. En octobre 2021, au milieu d’une frustration croissante face au programme de primes aux bogues d’Apple, plusieurs pirates éthiques ont déclaré publiquement qu’ils envisageaient de rendre leurs découvertes publiques pour forcer le géant de la technologie à agir.
Un chercheur qui a révélé trois jours zéro apparents dans iOS à Apple a déclaré que la société ne lui avait pas accordé le crédit approprié et a critiqué la façon dont elle communiquait avec les chasseurs de primes. Un autre a déclaré au site sœur de Computer Weekly, SearchSecurity, que leurs rapports n’avaient pas été confirmés ou examinés et que, dans certains cas, ils n’avaient pas reçu de prime.
Computer Weekly a contacté Apple pour essayer de mieux comprendre la situation et donner à l’entreprise un droit de réponse, mais il n’avait pas répondu à nos démarches au moment de la rédaction.