Apple a agi rapidement pour corriger son navigateur Safari contre une grave vulnérabilité de sécurité qui affecte un certain nombre de ses systèmes d’exploitation.
Safari 15.6.1 pour macOS Big Sur et Catalina est disponible en téléchargement dès maintenant, et toute personne utilisant ces versions est invitée à mettre à jour immédiatement.
Le correctif pour CVE-2022-32893 corrige une faille d’écriture hors limites dans WebKit, le moteur de Safari qui est également utilisé par d’autres applications avec accès Web.
Défaut d’écriture hors limites
Apple a confirmé que la faille serait déjà exploitée dans la nature, et lorsqu’elle est exploitée, la faille permet aux acteurs de la menace d’exécuter du code à distance sur un appareil vulnérable, à distance.
« Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité », a déclaré Apple dans un avis de sécurité. (s’ouvre dans un nouvel onglet).
Une faille d’écriture hors limites se produit lorsqu’un acteur malveillant force un programme d’entrée à écrire des données avant le début ou après la fin de la mémoire tampon. Cela plante le programme, corrompt les données et permet aux pirates d’exécuter du code à distance. Le correctif pour Big Sur et Catalia est dans la même veine que celui de Monterey – grâce à une vérification améliorée des limites.
Étant donné que la faille est exploitée à l’état sauvage, Apple reste discret sur le problème jusqu’à ce que la plupart des terminaux soient corrigés.
La société a déclaré qu’elle avait été informée des failles par un utilisateur anonyme, ajoutant qu’elle avait maintenant amélioré ses limites en vérifiant les deux bogues.
Apple a eu du mal à réparer les zero-days cette année. En janvier 2022, il a corrigé deux failles de ce type, à savoir CVE-2022-22578 et CVE-2022-22594, qui permettaient l’exécution de code arbitraire avec les privilèges du noyau.
Un mois plus tard, il a corrigé un autre zero-day, affectant les iPhones, iPads et Mac, et permettant aux pirates de planter le système d’exploitation et d’exécuter du code à distance, et en mars, Apple a corrigé CVE-2022-22674 et CVE-2022- 22675, deux jours zéro abusés pour exécuter du code avec les privilèges du noyau.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)