Apple corrige un nouveau zero-day exploité pour pirater les iPhones, iPads, Macs

Apple patches new zero-day exploited to hack iPhones, iPads, Macs

Apple a publié des mises à jour de sécurité pour corriger une nouvelle vulnérabilité zero-day exploitée à l’état sauvage par des attaquants pour pirater des iPhones, des iPads et des Macs.

Le patch zero-day d’aujourd’hui est suivi comme CVE-2022-22620 [1, 2] et est un WebKit Utiliser après gratuit problème pouvant entraîner des plantages du système d’exploitation et l’exécution de code sur des appareils compromis.

L’exploitation réussie de ce bug permet aux attaquants d’exécuter du code arbitraire sur les iPhones et les iPads exécutant des versions vulnérables d’iOS et d’iPadOS après avoir traité du contenu Web conçu de manière malveillante.

« Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré la société en décrivant le jour zéro.

Apple a corrigé CVE-2022-22620 avec une gestion améliorée de la mémoire dans iOS 15.3.1, iPadOS 15.3.1 et macOS Monterey 12.2.1.

La liste complète des appareils concernés est assez longue, car le bug affecte les modèles plus anciens et plus récents, et comprend :

  • iPhone 6s et versions ultérieures,
  • iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
  • Mac exécutant macOS Monterey

Bien que ce zero-day n’ait probablement été utilisé que dans des attaques ciblées, il est toujours fortement recommandé d’installer les mises à jour dès que possible pour bloquer les tentatives d’attaque potentielles.

Troisième patch zero-day cette année par Apple

En janvier, Apple a corrigé deux autres zero-days exploités dans la nature qui pourraient permettre aux acteurs de la menace d’exécuter du code arbitraire avec les privilèges du noyau (CVE-2022-22587) et de suivre l’activité de navigation et l’identité des utilisateurs en temps réel (CVE-2022 -22594).

Ces deux premiers zero-days ont eu un impact sur les iPhones (iPhone 6s et plus), les Mac exécutant macOS Monterey et plusieurs modèles d’iPad.

Alors qu’Apple n’a corrigé que trois jours zéro depuis le début de 2022, l’entreprise a dû faire face à un flux presque interminable de jours zéro exploités à l’état sauvage pour cibler les appareils iOS, iPadOS et macOS.

La liste comprend plusieurs failles zero-day utilisées pour installer le logiciel espion Pegasus de NSO sur les iPhones appartenant à des journalistes, des militants et des politiciens.