Apple a publié jeudi des mises à jour de sécurité pour corriger deux vulnérabilités zero-day exploitées par des attaquants pour pirater des iPhones, des iPads et des Macs.
Les bugs de sécurité du jour zéro sont des failles dont le fournisseur de logiciels n’a pas connaissance et qu’il n’a pas corrigées. Dans certains cas, ils ont également des exploits de preuve de concept accessibles au public ou peuvent être activement exploités dans la nature.
Dans Sécurité avis publié aujourd’hui, Apple a déclaré être au courant de rapports selon lesquels les problèmes « pourraient avoir été activement exploités ».
Les deux failles sont un problème d’écriture hors limites (CVE-2022-22674) dans le pilote graphique Intel qui permet aux applications de lire la mémoire du noyau et un problème de lecture hors limites (CVE-2022-22675) dans AppleAVD. décodeur multimédia qui permettra aux applications d’exécuter du code arbitraire avec les privilèges du noyau.
Les bugs ont été signalés par des chercheurs anonymes et corrigés par Apple dans iOS 15.4.1, iPadOS 15.4.1 et macOS Monterey 12.3.1 avec une validation des entrées et une vérification des limites améliorées, respectivement.
La liste des appareils concernés comprend :
- Mac exécutant macOS Monterey
- iPhone 6s et versions ultérieures
- iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération).
Apple a divulgué une exploitation active dans la nature, mais n’a publié aucune information supplémentaire concernant ces attaques.
La rétention de ces informations est probablement conçue pour permettre aux mises à jour de sécurité d’atteindre autant d’iPhones, d’iPads et de Mac que possible avant que les acteurs de la menace ne découvrent les détails et ne commencent à abuser des zero-days désormais corrigés.
Même si ces zero-days n’étaient probablement utilisés que dans des attaques ciblées, il est toujours fortement conseillé d’installer les mises à jour de sécurité d’aujourd’hui dès que possible pour bloquer les tentatives d’attaque potentielles.
Cinq zero-days patchés par Apple cette année
En janvier, Apple a corrigé deux zero-days plus activement exploités qui peuvent permettre aux attaquants d’exécuter du code arbitraire avec les privilèges du noyau (CVE-2022-22587) et de suivre l’activité de navigation Web et l’identité des utilisateurs en temps réel (CVE-2022- 22594).
En février, Apple a publié des mises à jour de sécurité pour corriger un nouveau bug zero-day exploité pour pirater les iPhones, iPads et Mac, entraînant des plantages du système d’exploitation et l’exécution de code à distance sur des appareils compromis après le traitement de contenu Web conçu de manière malveillante.
Ces trois premiers jours zéro ont également eu un impact sur les iPhones (iPhone 6s et plus), les Mac exécutant macOS Monterey et plusieurs modèles d’iPad.
La société a également dû faire face à un flux presque sans fin de zero-days exploités dans la nature pour cibler les appareils iOS, iPadOS et macOS tout au long de 2021.
Cette liste comprend plusieurs failles utilisées pour déployer le logiciel espion Pegasus de NSO sur les iPhones appartenant à des journalistes, des militants et des politiciens.