Apple critiqué pour les CVE non corrigés à Catalina, Big Sur

Apple est de nouveau critiqué après avoir précipité une série de correctifs pour traiter deux zero-days distincts dans son système d’exploitation macOS Monterey, ainsi que divers modèles d’iPhone et d’iPad, mais en négligeant d’offrir une mise à jour aux anciens ordinateurs Mac exécutant macOS Catalina et Big Sur.

CVE-2020-22674 dans le pilote graphique Intel et CVE-2022-22675 dans l’infrastructure vidéo et de décodage AppleAVD sont, diversement, un problème de lecture hors limites et un problème d’écriture hors limites qui, s’il laisse le noyau du périphérique dangereusement exposé à un attaquant potentiel, qui, dans le pire des cas, pourrait prendre le contrôle total du périphérique de la victime.

« C’est la première fois depuis la sortie de macOS Monterey qu’Apple néglige de corriger les vulnérabilités activement exploitées pour Big Sur et Catalina », a déclaré Joshua Long, analyste en chef de la sécurité chez Intego, un fournisseur spécialisé de services de sécurité pour les utilisateurs d’Apple. « Les trois vulnérabilités précédemment exploitées activement ont chacune été corrigées simultanément pour Monterey, Big Sur et Catalina. »

Selon Long, l’ingénierie inverse du correctif a montré que macOS 11, alias Big Sur, sorti le 12 novembre 2020, est vulnérable à CVE-202-22675, bien que la version 10.15, alias Catalina, publiée le 7 octobre 2019, ne soit pas due au fait que Catalina n’utilise pas AppleAVD. Il a ajouté qu’il est probable que Big Sur et Catalina soient vulnérables à CVE-2022-22674, bien que des travaux pour confirmer cela soient actuellement en cours.

« Nous sommes convaincus que CVE-2022-22674 affecte probablement à la fois macOS Big Sur et macOS Catalina. Presque toutes les vulnérabilités du composant Intel Graphics Driver au cours des dernières années ont affecté toutes les versions de macOS », a-t-il déclaré.

Long a déclaré que les systèmes Mac exécutant Catalina et Big Sur représenteraient entre 35% et 40% de la base installée actuelle d’Apple, bien qu’il s’agisse d’un chiffre imprécis car Apple ne fait plus de distinction entre les versions de macOs dans les chaînes de l’agent utilisateur du navigateur, ce qui rend beaucoup plus difficile pour les étrangers de les distinguer.

La décision de ne pas patcher Catalina et Big Sur est en quelque sorte un départ pour Apple, qui est notoirement secret sur ses politiques de correctifs, mais a généralement publié des correctifs pour l’actuelle et les deux versions majeures précédentes de macOS, généralement simultanément.

Long a ajouté que le problème pourrait bien affecter d’autres versions de macOS. Une étude menée l’année dernière par Intego, avant la sortie de Monterey, a révélé que 48% des plus de 400 vulnérabilités corrigées par Apple ont été corrigées sur les trois versions prises en charge de macOS (à l’époque, Catalina, Big Sur et Mojave), mais que 34% n’ont été corrigées que pour Catalina et Big Sur, et 16% n’ont été corrigées que pour Big Sur. zero-days – ces chiffres ont tous augmenté.

« Apple a une histoire malheureuse de laisser sciemment les versions de macOS « prises en charge » sans protection contre certaines attaques sauvages et activement exploitées. Ce type de scénario dans lequel un fournisseur choisit de ne pas publier de correctif est parfois appelé un ‘zero-day perpétuel’ », a déclaré Long.

Long a déclaré que la seule façon pour l’utilisateur moyen de s’assurer que son Mac est aussi sûr que possible est de passer à Monterey, bien que pour des raisons de compatibilité, beaucoup trouveront cela impossible. « [But] la personne moyenne ne le saurait jamais, car Apple publie toujours des correctifs pour Big Sur et Catalina, le plus récemment il y a seulement trois semaines, le 15 mars. Il n’est pas évident pour la plupart des gens que les correctifs d’Apple pour ces versions de macOS sont incomplets », a-t-il déclaré.

Ce n’est pas la première fois ces derniers mois que Cupertino est critiqué par des experts en sécurité pour ses pratiques. En octobre 2021, au milieu de la frustration croissante suscitée par le programme Bug Bounty d’Apple, plusieurs pirates informatiques éthiques ont déclaré qu’ils envisageaient de rendre leurs découvertes publiques pour forcer la main du géant de la technologie.

Un chercheur, qui a révélé trois jours zéro apparents dans iOS à Apple, a déclaré que la société n’avait pas réussi à le créditer correctement et a critiqué la façon dont elle communique avec les chasseurs de primes. Un autre a déclaré au site sœur de Computer Weekly, SearchSecurity, que leurs rapports n’avaient pas été reconnus ou triés et que, dans certains cas, ils n’avaient pas reçu de prime.

Computer Weekly a contacté Apple pour tenter de mieux comprendre la situation et d’offrir à l’entreprise un droit de réponse, mais elle n’avait pas répondu à nos approches au moment de la rédaction du présent rapport.