Apple corrige un nouveau zero-day exploité pour pirater les appareils macOS et iOS

Apple log with rainbow background

Apple a publié des mises à jour de sécurité pour corriger deux vulnérabilités zero-day, l’une divulguée publiquement et l’autre exploitée à l’état sauvage par des attaquants pour pirater des iPhones et des Mac.

Le premier correctif zero-day aujourd’hui (suivi en tant que CVE-2022-22587) [12] est un bug de corruption de mémoire dans IOMobileFrameBuffer qui affecte iOS, iPadOS et macOS Monterey.

L’exploitation réussie de ce bug conduit à l’exécution de code arbitraire avec les privilèges du noyau sur les appareils compromis.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré Apple en décrivant le bug du jour zéro.

La liste complète des appareils concernés comprend :

  • iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
  • et macOS Monterey

Le bug a été trouvé par un chercheur anonyme, Meysam Firouzi (@R00tkitSMM) de MBition – Mercedes-Benz Innovation Lab, et Siddharth Aeri (@b1n4r1b01).

Firouzi et Aeri ont déclaré à EZpublish-france.fr qu’ils avaient tous deux trouvé le bug de manière indépendante et ignoraient que les acteurs de la menace l’exploitaient dans la nature.

Le deuxième zero-day est un bug Safari WebKit dans iOS et iPadOS qui permettait aux sites Web de suivre votre activité de navigation et l’identité des utilisateurs en temps réel.

Le bug a été divulgué pour la première fois à Apple par Martin Bajanik de FingerprintJS le 28 novembre 2021 et divulgué publiquement le 14 janvier 2022. Après que le chercheur a divulgué le bug, il a été attribué le CVE-2022-22594 et corrigé dans la version d’aujourd’hui. Mise à jour de sécurité iOS 15.3 et iPadOS 15.3.

Ces bugs sont les premières vulnérabilités zero-day corrigées par Apple en 2022.

Cependant, Apple a corrigé ce qui ressemblait à un flux sans fin de bugs du jour zéro en 2021 qui étaient utilisés dans les attaques contre les appareils iOS et macOS.

Ces bugs comprenaient de nombreuses vulnérabilités de type « zero-day » utilisées pour installer le logiciel espion Pegasus sur les iPhones des journalistes, des militants et des politiciens.