iPhone et iPad : Apple a corrigé une faille zero-day (CVE-2022-42827)
Apple a mis en ligne de nouvelles mises à jour de sécurité qui permettent de corriger différentes vulnérabilités, dont une faille de sécurité zero-day exploitée dans le cadre d'attaques. Les iPhones et les iPads sont affectés par cette vulnérabilité.
La faille de sécurité est associée à la référence CVE-2022-42827 et c'est un bug de type "Out-of-bounds Write", ce qui signifie que des données sont écrites en dehors du tampon de la mémoire. Typiquement, cela peut amener à une corruption de données, à un plantage ou à l'exécution de code. Cela se confirme car Apple affirme que si un attaquant parvient à exploiter cette vulnérabilité, il peut exécuter du code sur l'appareil vulnérable en bénéficiant des privilèges du noyau.
La firme de Cupertino précise également : "Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité." - Aucune certitude et il n'y a pas de preuves, mais visiblement cette vulnérabilité serait exploitée dans le cadre d'attaques.
Quels sont les modèles affectés ?
D'après le bulletin de sécurité d'Apple, la CVE-2022-42827 affecte de nombreux appareils. Voici une liste :
- Tous les modèles "iPhone" à partir de l'iPhone 8
- iPad Pro (toutes les versions)
- iPad Air 3ème génération et supérieur
- iPad 5ème génération et supérieur
- iPad Mini 5ème génération et supérieur
Pour se protéger, les utilisateurs doivent installer les dernières versions du système : iOS 16.1 et iPadOS 16.
Rapportée à Apple par un chercheur en sécurité anonyme, cette vulnérabilité n'est pas la seule corrigée par l'entreprise américaine. En effet, le bulletin de sécurité mentionne pas moins de 20 vulnérabilités différentes et désormais corrigées.
Depuis le début de l'année 2022, il s'agit de la 9ème faille de sécurité zero-day corrigée par Apple. En septembre, il s'agissait de la CVE-2022-32917 présente dans le noyau d'iOS, tout comme la CVE-2022-32894 corrigée en août dernier, en même temps que la CVE-2022-22675 dans WebKit.
A vos mises à jour !