La dernière collection de mises à jour de sécurité d'Apple est arrivée, y compris le tout juste lancé macOS 13 Aventure, qui était accompagné de son propre bulletin de sécurité répertoriant 112 failles de sécurité numérotées CVE.
Parmi ceux-ci, nous avons compté 27 trous d'exécution de code arbitraire, dont 12 permettent d'injecter du code malveillant directement dans le noyau lui-même, et un permet d'exécuter du code non fiable avec les privilèges système.
En plus de cela, il existe deux bogues d'élévation de privilèges (EoP) répertoriés pour Ventura qui, selon nous, pourraient être utilisés conjointement avec certains, plusieurs ou tous les 14 bogues d'exécution de code non système restants pour former une chaîne d'attaque qui transforme un exploit d'exécution de code au niveau de l'utilisateur en un exploit au niveau du système.
iPhone et iPad à risque réel
Ce n'est pas la partie la plus critique de cette histoire cependant.
Le prix du « danger clair et présent » revient à iOS ainsi que iPad, Qui être mis à jour vers la version 16.1 ainsi que 16 respectivement, où l'une des vulnérabilités de sécurité répertoriées permet l'exécution du code du noyau à partir de n'importe quelle application, et est déjà activement exploitée.
En bref, les iPhones et iPads doivent être corrigés immédiatement en raison d'un jour zéro du noyau.
Apple n'a pas précisé quel groupe de cybercriminalité ou société de logiciels espions abuse de ce bogue, surnommé CVE-2022-42827, mais étant donné le prix élevé que l'iPhone fonctionnel commande dans le cybermonde, nous supposons que quiconque est en possession de cet exploit [a] sait comment le faire fonctionner efficacement et [b] est peu susceptible d'attirer l'attention dessus lui-même , afin de garder les victimes existantes dans l'ignorance autant que possible.
Apple a lancé sa remarque passe-partout habituelle selon laquelle la société "est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité", et c'est tout.
Par conséquent, nous ne pouvons vous offrir aucun conseil sur la façon de vérifier les signes d'attaque sur votre propre appareil - nous ne sommes au courant d'aucun soi-disant IoC (indicateurs de compromis), tels que des fichiers étranges dans votre sauvegarde, des modifications de configuration inattendues ou des entrées de fichier journal inhabituelles que vous pourriez être en mesure de rechercher.
Notre seule recommandation est donc notre exhortation habituelle à patcher tôt/patcher souvent, en vous dirigeant vers Paramètres > Général > Mise à jour du logiciel et en choisissant Télécharger et installer si vous n'avez pas encore reçu les correctifs.
Pourquoi attendre que votre appareil trouve et suggère les mises à jour lui-même alors que vous pouvez passer en tête de file d'attente et les récupérer immédiatement ?
Catalina a chuté?
Comme vous l'avez peut-être supposé, étant donné que la version de Ventura fait passer macOS à la version 13, macOS 10 Catalina, il y a trois versions, n'apparaît pas dans la liste cette fois.
Apple fournit généralement des mises à jour de sécurité uniquement pour les versions précédentes et antérieures de macOS, et c'est ainsi que les correctifs se sont déroulés ici, avec des correctifs à prendre macOS 11 BigSur vers la version 11.7.1et une macOS 12 Monterey vers la version 12.6.1.
Cependant, ces versions bénéficient également d'un mise à jour séparée répertorié comme Safari 16.1, qui corrige plusieurs bogues dangereux dans Safari et sa bibliothèque logicielle sous-jacente WebKit.
N'oubliez pas que WebKit est utilisé non seulement par Safari, mais également par toutes les autres applications qui s'appuient sur le code sous-jacent d'Apple pour afficher tout type de contenu HTML, y compris les systèmes d'aide, les écrans À propos et les "mini-navigateurs" intégrés, couramment utilisés dans la messagerie. applications qui offrent une option pour afficher des fichiers, des pages ou des messages HTML.
Apple watchOS ainsi que tvOS obtenez également de nombreux correctifs et leurs numéros de version sont mis à jour pour Montre 9.1 ainsi que tvOS 16.1 respectivement.
Que faire?
La bonne nouvelle est que seuls les premiers utilisateurs et les développeurs de logiciels sont susceptibles d'utiliser déjà Ventura, dans le cadre de l'écosystème bêta d'Apple.
Ces utilisateurs doivent mettre à jour dès que possible, sans attendre un rappel du système ou que la mise à jour automatique démarre, étant donné le grand nombre de bogues corrigés.
Si vous n'êtes pas sur Ventura mais que vous avez l'intention de mettre à jour immédiatement, votre première expérience de la nouvelle version inclura automatiquement les 112 correctifs CVE mentionnés ci-dessus, donc la version améliorer inclura automatiquement la sécurité nécessaire mises à jour.
Si vous prévoyez de conserver la version précédente ou pré-précédente de macOS pendant un certain temps encore (ou si, comme nous, vous avez un Mac plus ancien qui ne peut pas être mis à niveau), n'oubliez pas que vous avez besoin de deux mises à jour : une spécifique à Big Sur ou Monterey, et l'autre une mise à jour pour Safari qui est la même pour les deux versions du système d'exploitation.
Pour résumer:
- Sur iOS ou iPad OS, utiliser de toute urgence Paramètres > Général > Mise à jour du logiciel
- Sur macOS, utilisé Menu Pomme > À propos de ce Mac > Mise à jour logicielle…
- macOS 13 Ventura Bêta les utilisateurs doivent mettre à jour immédiatement vers la version complète.
- Utilisateurs de Big Sur et de Monterey qui passent à Ventura obtiennent les correctifs de sécurité macOS 13 en même temps.
- macOS 11 BigSur va à 11.7.1, et les besoins Safari 16.1 également.
- macOS 12 Monterey va à 12.6.1, et les besoins Safari 16.1 également.
- watchOS va à 9.1.
- tvOS va à 16.1.
Notez que macOS 10 Catalina ne reçoit aucune mise à jour, mais nous supposons que c'est parce que c'est la fin du chemin pour les utilisateurs de Catalina, pas parce qu'il est toujours pris en charge, mais qu'il était immunisé contre les bogues trouvés dans les versions ultérieures.
Si nous avons raison, les utilisateurs de Catalina qui ne peuvent pas mettre à niveau leur Mac sont obligés d'exécuter pour toujours des logiciels Apple de plus en plus obsolètes ou de passer à un système d'exploitation alternatif tel qu'une distribution Linux qui est toujours prise en charge sur leur appareil.
Liens rapides vers les bulletins de sécurité d'Apple :
- APPLE-SA-2022-10-24-1 : HT213489 pour iOS 16.1 et iPadOS 16
- APPLE-SA-2022-10-24-2 : HT213488 pour macOS Ventura 13
- APPLE-SA-2022-10-24-3 : HT213494 pour macOS Monterey 12.6.1
- APPLE-SA-2022-10-24-4 : HT213493 pour macOS Big Sur 11.7.1
- APPLE-SA-2022-10-24-5 : HT213491 pour watchOS 9.1
- APPLE-SA-2022-10-24-6 : HT213492 pour tvOS 16.1
- APPLE-SA-2022-10-24-7 : HT213495 pour Safari 16.1
- 0 jour
- Apple
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- CVE-2022-42827
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- Exploiter
- pare-feu
- iOS
- iPad
- iPhone
- Kaspersky
- mac
- malware
- Mcafee
- Sécurité nue
- NexBLOC
- OS X
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- vulnérabilité
- la sécurité d'un site web
- zéphyrnet
- jour zéro
![S3 Ep105 : WONTFIX ! Le cryptofail de MS Office qui « n'est pas une faille de sécurité » [Audio + Texte] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.](https://platoblockchain.com/wp-content/uploads/2022/10/pic-1200-360x188.png "S3 Ep105 : PAS RÉPARÉ ! Le cryptofail de MS Office qui \"n'est pas une faille de sécurité\" [Audio + Texte]")
![S3 Ep115 : Histoires vraies de crimes – Une journée dans la vie d'un combattant de la cybercriminalité [Audio + Texte] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115 : Histoires de vrais crimes – Une journée dans la vie d'un combattant de la cybercriminalité [Audio + Texte]")
