Apple supprime les correctifs d’urgence pendant deux jours zéro

Apple a publié un correctif hors séquence pour deux vulnérabilités zero-day récemment révélées affectant les produits iPad, iPhone et Mac, qui semblent avoir été activement exploitées par des acteurs malveillants.

Révélées par un chercheur en sécurité anonyme, les vulnérabilités sont suivies en tant que CVE-2022-22674 et CVE-22675, respectivement. Ce sont les quatrième et cinquième jours zéro trouvés dans le kit Apple cette année à ce jour.

CVE-2022-22674 existe dans le pilote graphique Intel et est corrigé dans macOS Monterey uniquement. Il s’agit d’un problème de lecture hors limites qui, s’il est exploité, conduit à la divulgation de la mémoire du noyau.

CVE-2022-22675 existe dans le cadre de décodage audio et vidéo AppleAVD pour macOS Monterey, iPhone 6s et versions ultérieures, tous les modèles d’iPad Pro, iPad Air 2 et versions ultérieures, iPad cinquième génération et versions ultérieures, iPad Mini 4 et versions ultérieures et iPod Touch septième génération.

Cette vulnérabilité est un problème d’écriture hors limites qui, s’il est exploité, permet à une application d’exécuter du code arbitraire avec des privilèges de noyau.

Paul Ducklin de Sophos a déclaré que de telles vulnérabilités du noyau étaient, d’une manière générale, parmi les problèmes les plus potentiellement dangereux qui pourraient avoir un impact sur les appareils Apple.

En effet, s’ils peuvent accéder au noyau, un acteur malveillant « a à peu près des privilèges d’accès à tous les domaines » sur l’appareil cible, ce qui, dans le pire des cas, leur permettrait d’en prendre le contrôle total, a-t-il déclaré.

En gardant à l’esprit que les appareils Apple sont capables de prendre de telles mises à jour automatiquement et, en tant que tels, beaucoup auront déjà reçu les correctifs, les utilisateurs peuvent vérifier leur état de mise à jour et les télécharger en allant dans Menu Apple – À propos de ce Mac – Mise à jour logicielle sur un Mac, ou Paramètres – Général – Mise à jour logicielle sur un iPhone ou iPad.

La nouvelle version corrigée de macOS Monterey est 12.3.1, et la version corrigée d’iOS et iPadOS est 15.4.1.

Si vous n’avez pas activé les mises à jour automatiques, vous devriez le faire aujourd’hui, comme l’a déclaré Jake Moore d’ESET: « Lorsque de telles failles sont situées dans la nature, c’est une course contre la montre pour ceux qui cherchent à trouver une solution. Lorsqu’Apple publie un correctif dans un correctif, il est essentiel que les utilisateurs mettent à jour le plus tôt possible et ne tergiversent pas.

« Beaucoup de gens se sentent souvent dépassés par la quantité de mises à jour envoyées par Apple et Android, mais celles-ci sont pour le bénéfice de l’appareil et du propriétaire. Les acteurs de la menace adaptent constamment leurs attaques à une vulnérabilité donnée. Heureusement, ces mises à jour ne sont jamais trop en retard, mais doivent être installées immédiatement pour prendre effet.