Les mises à jour colmatent des vulnérabilités qui permettent aux pirates d’exécuter du code arbitraire dans le kernel, ou d’y lire des données sensibles.
Si vous utilisez des appareils Apple, veillez à patcher vos systèmes d’exploitation le plus vite possible. La firme de Cupertino vient en effet de colmater deux failles zero-day exploitées de façon active par des pirates. Toutes les deux résultaient d’un manque de vérification des limites de variables (« bounds checking »). La première (CVE-2022-22675) concerne macOS, iOS et iPadOS. Elle se situait dans le module de décodage audio/vidéo AppleAVD et permettait d’exécuter du code arbitraire dans le kernel. La seconde (CVE-2022-22674) ne concerne que macOS et se situait dans le driver Intel Graphics. Elle permettait de lire des données dans la mémoire du kernel.
Dans les deux cas, le problème a été corrigé en ajoutant les contrôles nécessaires dans le code. Pour profiter de ces correctifs, il faut télécharger les mises à jour macOS Monterey 12.3.1, iOS 15.4.1 et iPadOS 15.4.1.
En revanche, Apple ne donne aucun détail sur les cyberattaques qui ont été réalisées avec ces failles. Au total, l’entreprise a déjà corrigé — depuis le début de l’année — quatre failles zero-day exploitées par des pirates.
source : 01net