Apple a publié macOS Monterey 12.5.1, iOS 15.6.1 et iPadOS 15.6.1 qui corrige deux vulnérabilités de type « zero-day » activement exploitées dans la nature.
L’une des failles, affectant les trois formes du logiciel, est une vulnérabilité d’écriture hors limites dans le noyau du système d’exploitation qui peut être exploitée pour accorder aux applications malveillantes les privilèges les plus élevés – en d’autres termes, un attaquant pourrait l’utiliser pour prendre entièrement le contrôle d’un endpoint vulnérable (s’ouvre dans un nouvel onglet).
La deuxième vulnérabilité, identifiée comme CVE-2022-32893, est une faille d’écriture hors limites dans WebKit, le moteur de Safari utilisé par d’autres applications avec accès Web. Cela peut également être utilisé pour prendre le contrôle d’un appareil vulnérable, car cela permet aux acteurs de la menace d’exécuter du code arbitraire.
Protégez vos appareils
La société a déclaré qu’elle avait été informée des failles par un utilisateur anonyme qui avait averti Apple, ajoutant qu’elle avait amélioré les limites de la vérification des deux bogues.
Si votre organisation utilise des Mac avec macOS (s’ouvre dans un nouvel onglet) Monterey, iPhone 6s ou appareils ultérieurs, tous les iPad Pro, iPad Air 2 et appareils plus récents, iPads 5e génération et au-delà, iPads mini 4 et plus récents, ou appareils iPod touch 7e génération, vous devez corriger immédiatement, surtout parce que les défauts sont activement exploité.
Apple a été très occupé à corriger les vulnérabilités du jour zéro ces derniers mois. En janvier 2022, il a corrigé deux failles de ce type, à savoir CVE-2022-22578 et CVE-2022-22594, qui permettaient l’exécution de code arbitraire avec les privilèges du noyau. Un mois plus tard, il a corrigé un autre jour zéro, affectant les iPhones, les iPads et les Mac, et permettant aux acteurs de la menace de planter le système d’exploitation et d’exécuter l’exécution de code à distance.
En mars, il a corrigé CVE-2022-22674 et CVE-2022-22675, deux jours zéro abusés pour exécuter du code avec les privilèges du noyau.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)