Apple a publié un correctif hors séquence pour deux vulnérabilités zero-day récemment découvertes affectant les produits iPad, iPhone et Mac qui semblent avoir été activement exploitées par des acteurs malveillants.
Les vulnérabilités publiées par un chercheur en sécurité anonyme sont suivies respectivement sous les noms CVE-2022-22674 et CVE-22675. Il s’agit des quatrième et cinquième jours zéro trouvés dans le kit d’Apple jusqu’à présent cette année.
CVE-2022-22674 est présent dans le pilote graphique Intel et n’est corrigé que dans macOS Monterey. Il s’agit d’un problème de lecture hors limites qui, lorsqu’il est exploité, conduit à la divulgation de la mémoire du noyau.
CVE-2022-22675 existe dans le cadre de décodage audio et vidéo AppleAVD pour macOS Monterey, iPhone 6s et versions ultérieures, tous les modèles d’iPad Pro, iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad Mini 4 et versions ultérieures et iPod Touch septième génération.
Cette vulnérabilité est un problème d’écriture hors limites qui, lorsqu’il est exploité, permet à une application d’exécuter du code arbitraire avec les privilèges du noyau.
Paul Ducklin de Sophos a déclaré que ces vulnérabilités du noyau sont, dans l’ensemble, parmi les problèmes potentiellement les plus dangereux qui pourraient affecter les appareils Apple.
En effet, si un acteur malveillant peut accéder au noyau, il a « presque beaucoup de droits d’accès à tout » sur l’appareil cible, ce qui, au pire, lui permettrait d’en prendre le contrôle total, a-t-il déclaré.
Considérant que les appareils Apple sont capables d’appliquer ces mises à jour automatiquement et que beaucoup ont déjà reçu les correctifs, les utilisateurs peuvent vérifier leur état de mise à jour et les télécharger en allant dans le menu Apple – À propos de ce Mac Aller à – Mise à jour logicielle sur un Mac ou Paramètres – Général – Mise à jour du logiciel sur un iPhone ou un iPad.
La nouvelle version corrigée de macOS Monterey est la 12.3.1 et la version corrigée d’iOS et d’iPadOS est la 15.4.1.
Si vous n’avez pas activé les mises à jour automatiques, vous devriez le faire aujourd’hui, comme l’a dit Jake Moore d’ESET : « Lorsque des vulnérabilités comme celle-ci sont découvertes dans la nature, c’est une course contre la montre pour ceux qui veulent trouver un correctif. Lorsqu’Apple publie un correctif dans un correctif, il est important que les utilisateurs mettent à jour dès que possible et n’hésitent pas.
« Beaucoup de gens se sentent souvent dépassés par la quantité de mises à jour envoyées par Apple et Android, mais celles-ci profitent à l’appareil et au propriétaire. Les acteurs de la menace adaptent constamment leurs attaques à une vulnérabilité spécifique. Heureusement, ces mises à jour ne sont jamais trop éloignées et doivent être installées immédiatement pour prendre effet.