Technologie
Apple corrige le nouvel iPhone zero-day
Apple a publié une série de mises à jour de sécurité pour ses systèmes d’exploitation mobiles (OS) iOS 16.1 et iPadOS 16, ciblant 20 vulnérabilités nouvellement découvertes, dont une exploitée activement zero-day.
Suivie sous le nom de CVE-2022-42827 et créditée à un chercheur anonyme, la vulnérabilité affecte l’iPhone 8 et les modèles ultérieurs, tous les modèles d’iPad Pro, iPad Air 3Rd génération et versions ultérieures, iPad 5ième génération et versions ultérieures, et iPad Mini 5ième génération et plus tard.
Il s’agit d’un problème d’écriture hors limites par lequel une application peut être en mesure d’exécuter du code arbitraire avec des privilèges de noyau.
Les vulnérabilités affectant les noyaux de périphérique sont particulièrement dangereuses en raison de l’importance du noyau pour le fonctionnement de tout système d’exploitation d’ordinateur – essentiellement, c’est la couche située entre le système d’exploitation lui-même et le matériel sous-jacent, où il fournit une interface permettant aux utilisateurs et aux applications d’interagir avec le périphérique, lance et gère les applications et gère le matériel système.
En tant que tel, si un acteur malveillant trouve qu’il est capable d’accéder au noyau, il peut pratiquement prendre le contrôle total du périphérique cible. Par conséquent, la mise à jour devrait être priorisée par les organisations gérant d’importants domaines Apple.
Les utilisateurs grand public, quant à eux, peuvent vérifier leur état de mise à jour en accédant à Paramètres – Général – Mise à jour logicielle sur un iPhone ou un iPad, en gardant à l’esprit que leurs appareils peuvent être configurés pour prendre ces mises à jour automatiquement.
Apple n’a pas publié plus de détails sur la façon dont le bug est exploité, ni fourni d’indicateurs de compromission (IoC), ce qui est une pratique courante à Cupertino.
De tels problèmes ont récemment affecté Apple, l’entreprise ayant corrigé plusieurs autres vulnérabilités ayant un impact sur les noyaux d’appareils jusqu’à présent cette année.
Les autres problèmes résolus dans le dernier avis de sécurité d’Apple sont les suivants:
- CVE-2022-42835 dans AppleMobileFileIntegrity ;
- CVE-2022-32940 dans AVEVideoEncoder ;
- CVE-2022-42813 dans CFNetwork ;
- CVE-2022-32946 en Bluetooth central ;
- CVE-2022-32947 dans les pilotes GPU ;
- CVE-2022-42820 dans IOHIDFamily ;
- CVE-2022-42806 dans IOKit ;
- CVE-2022-32924 et CVE-2022-42808 dans les noyaux de périphériques ;
- CVE-2022-42829, CVE-2022-42830, CVE-2022-42831 et CVE-2022-42832 en PPP ;
- CVE-2022-42811 dans Sandbox ;
- CVE-2022-32938 dans Raccourcis ;
- CVE-2022-42799, CVE-2022-42828 et CVE-2022-42824 dans WebKit ;
- et CVE-2022-32922 dans WebKit PDF.
Bon nombre de ces vulnérabilités pourraient également entraîner l’exécution arbitraire de code sur l’appareil victime, ce qui, en termes simples, signifie généralement qu’un acteur de la menace peut exécuter n’importe quelle commande de son choix sur le système compromis.
Par exemple, ils pourraient déclencher du code déjà présent, ou plus généralement, charger leur propre code – c’est-à-dire un logiciel malveillant – sur l’appareil et l’exécuter, avec tous les problèmes ultérieurs – tels que l’exfiltration de données et l’extorsion de rançon – que cela implique.
-
Technologie3 ans agoUne escroquerie par hameçonnage cible les clients de la Lloyds Bank
-
Monde3 ans agoLa NASA va supprimer les noms « offensants » des planètes et des galaxies
-
Monde2 ans agoQuelle est la taille de Barron Trump?
-
Monde3 ans agoQui est le mari de Candace Owens, George Farmer?
-
Monde3 ans agoQui est le chef de la mafia sicilienne Matteo Messina Denaro?
-
France3 ans agoQui est Luce Douady et comment l’alpiniste de 16 ans est-il mort?
-
France3 ans agoLe mari admet avoir tué sa femme en vacances et jeter le corps dans les égouts pluviaux
-
France3 ans agoL’enseignant primaire accro au tatouage avec EYEBALLS noirci terrifie les enfants avec l’art corporel