Apple exhorte les utilisateurs de macOS, iPhone et iPad à installer immédiatement les mises à jour respectives cette semaine, qui incluent des correctifs pour deux jours zéro sous attaque active. Les correctifs concernent les vulnérabilités qui permettent aux attaquants d'exécuter du code arbitraire et finalement de prendre le contrôle des appareils.
Des correctifs sont disponibles pour les appareils concernés exécutant iOS 15.6.1 ainsi que macOS Monterey 12.5.1. Les correctifs corrigent deux failles, qui affectent essentiellement tout appareil Apple pouvant exécuter iOS 15 ou la version Monterey de son système d'exploitation de bureau, selon les mises à jour de sécurité publiées par Apple mercredi.
L'un des défauts est un bogue du noyau (CVE-2022-32894), qui est présent à la fois dans iOS et macOS. Selon Apple, il s'agit d'un "problème d'écriture hors limites [qui] a été résolu par une vérification améliorée des limites".
La vulnérabilité permet à une application d'exécuter du code arbitraire avec les privilèges du noyau, selon Apple, qui, de manière vague et habituelle, a déclaré qu'il existe un rapport indiquant qu'elle "peut avoir été activement exploitée".
La deuxième faille est identifiée comme un bogue WebKit (suivi comme CVE-2022-32893), qui est un problème d'écriture hors limites qu'Apple a résolu avec une vérification améliorée des limites. La faille permet de traiter du contenu Web conçu de manière malveillante qui peut conduire à l'exécution de code, et a également été signalé comme faisant l'objet d'un exploit actif, selon Apple. WebKit est le moteur de navigateur qui alimente Safari et tous les autres navigateurs tiers qui fonctionnent sur iOS.
Scénario semblable à Pégase
La découverte des deux failles, dont on ne sait guère plus au-delà de la divulgation d'Apple, a été attribuée à un chercheur anonyme.
Un expert a exprimé sa crainte que les dernières failles d'Apple "pourraient effectivement donner aux attaquants un accès complet à l'appareil", elles pourraient créer un Comme Pégase scénario similaire à celui dans lequel les APT des États-nations ont bombardé des cibles avec un logiciel espion réalisé par le groupe israélien NSO en exploitant une vulnérabilité de l'iPhone.
"Pour la plupart des gens : mettez à jour le logiciel avant la fin de la journée", tweeté Rachel Tobac, PDG de SocialProof Security, concernant les zero-days. "Si le modèle de menace est élevé (journaliste, militant, ciblé par les États-nations, etc.) : mettez à jour maintenant", a averti Tobac.
Les jours zéro abondent
Les failles ont été dévoilées aux côtés d'autres nouvelles de Google cette semaine qu'il patchait son cinquième jour zéro jusqu'à présent cette année pour son navigateur Chrome, un bogue d'exécution de code arbitraire faisant l'objet d'une attaque active.
La nouvelle d'encore plus de vulnérabilités des principaux fournisseurs de technologies étant bloquée par les acteurs de la menace démontre que malgré les meilleurs efforts des entreprises technologiques de premier plan pour résoudre les problèmes de sécurité persistants dans leurs logiciels, cela reste une bataille difficile, a noté Andrew Whaley, directeur technique senior chez Promon, une société norvégienne de sécurité des applications.
Les failles d'iOS sont particulièrement inquiétantes, compte tenu de l'omniprésence des iPhones et de la dépendance totale des utilisateurs aux appareils mobiles pour leur vie quotidienne, a-t-il déclaré. Cependant, il incombe non seulement aux fournisseurs de protéger ces appareils, mais également aux utilisateurs d'être plus conscients des menaces existantes, a observé Whaley.
"Bien que nous comptions tous sur nos appareils mobiles, ils ne sont pas invulnérables, et en tant qu'utilisateurs, nous devons maintenir notre garde comme nous le faisons sur les systèmes d'exploitation de bureau", a-t-il déclaré dans un e-mail à Threatpost.
Dans le même temps, les développeurs d'applications pour iPhones et autres appareils mobiles devraient également ajouter une couche supplémentaire de contrôles de sécurité dans leur technologie afin qu'ils dépendent moins de la sécurité du système d'exploitation pour la protection, compte tenu des failles qui surgissent fréquemment, a observé Whaley.
"Notre expérience montre que cela ne se produit pas assez, laissant potentiellement les banques et autres clients vulnérables", a-t-il déclaré.
- IPhone d'Apple
- Vulnérabilités Apple
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- hacks
- Kaspersky
- malware
- Mcafee
- mobile Security
- nouvelles
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Message de menace
- VPN
- vulnérabilités
- la sécurité d'un site web
- zéphyrnet
