Apple corrige un bug de navigateur « 0-day » corrigé il y a 2 semaines dans Chrome, Edge PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Apple corrige le bug du navigateur "0-day" corrigé il y a 2 semaines dans Chrome, Edge

Horodatage: 21 juillet 2022 8:38

by
Paul Canard

Apple a publié ses derniers correctifs, corrigeant plus de 50 vulnérabilités de sécurité numérotées CVE dans sa gamme de produits pris en charge.

Les bulletins de sécurité pertinents, les numéros de mise à jour et où les trouver en ligne sont les suivants :

  • APPLE-SA-2022-07-20-1 : iOS 15.6 et iPadOS 15.6, détails à HT213346
  • APPLE-SA-2022-07-20-2 : macOS Monterey 12.5, détails à HT213345
  • APPLE-SA-2022-07-20-3 : macOS Big Sur 11.6.8, détails à HT213344
  • APPLE-SA-2022-07-20-4 : Mise à jour de sécurité 2022-005 Catalina, détails à HT213343
  • APPLE-SA-2022-07-20-5 : tvOS 15.6, détails à HT213342
  • APPLE-SA-2022-07-20-6 : watchOS 8.7, détails à HT213340
  • APPLE-SA-2022-07-20-7 : Safari 15.6 détails à HT213341

Comme d'habitude avec Apple, les correctifs du navigateur Safari sont intégrés aux mises à jour du dernier macOS (Monterey), ainsi qu'aux mises à jour pour iOS et iPad OS.

Mais les mises à jour pour les anciennes versions de macOS n'incluent pas Safari, donc la mise à jour autonome de Safari (voir HT213341 ci-dessus) s'applique donc aux utilisateurs des versions précédentes de macOS (Big Sur et Catalina sont toujours officiellement pris en charge), qui devront télécharger et installer deux mises à jour, pas une seule.

Un zero-day honorifique

Au fait, si vous avez un Mac avec une version antérieure de macOS, n'oubliez pas ce deuxième téléchargement pour Safari, parce que c'est d'une importance vitale, du moins à notre avis.

En effet, l'un des correctifs liés au navigateur de cette série de mises à jour traite d'une vulnérabilité dans WebRTC (communications Web en temps réel) connu comme CVE-2022-2294...

… et si ce nombre vous semble familier, il devrait, car c'est le même bogue qui a été fixé comme un jour zéro par Google dans Chrome (et par Microsoft dans Edge) il y a environ deux semaines :

Curieusement, Apple n'a déclaré aucune des vulnérabilités de ce mois comme "signalées comme étant dans la nature" ou comme des "bogues du jour zéro", malgré le correctif susmentionné qui a été surnommé un trou du jour zéro par Google.

Que ce soit parce que le bogue n'est pas aussi facile à exploiter dans Safari, ou simplement parce que personne n'a retracé un mauvais comportement spécifique à Safari à ce défaut particulier, nous ne pouvons pas vous le dire, mais nous le traitons comme un "honoraire". vulnérabilité « zéro jour » et corrigent avec zèle en conséquence.

Pwn2Own trou fermé

Apple a également apparemment corrigé le bogue trouvé par le chercheur allemand en cybersécurité Manfred Paul lors du récent concours Pwn2Own au Canada, en mai 2022.

Manfred Paul a exploité Firefox avec un bogue en deux étapes qui lui a rapporté 100,000 50,000 $ (50,000 XNUMX $ pour chaque partie), et est également entré dans Safari, pour une prime supplémentaire de XNUMX XNUMX $.

En effet, Mozilla a publié son correctif pour les bugs de Paul dans deux jours de recevoir son rapport sur Pwn2Own :

Apple, en revanche, a mis deux mois pour livrer son patch post-Pwn2Own :

WebKit

Impact: Le traitement de contenu Web conçu de manière malveillante peut entraîner l'exécution de code arbitraire

Description: Un problème d'écriture hors limites a été résolu avec une meilleure validation des entrées.

CVE-2022-32792 : Manfred Paul (@_manfp) en collaboration avec Trend Micro Zero Day Initiative [Pwn2Own]

N'oubliez pas, cependant, que la divulgation responsable fait partie du concours Pwn2Own, ce qui signifie que toute personne réclamant un prix est tenue non seulement de remettre tous les détails de son exploit au fournisseur concerné, mais aussi de garder le silence sur la vulnérabilité jusqu'à ce que le correctif soit disponible. .

En d'autres termes, aussi louable et passionnant qu'ait pu être le délai de livraison des correctifs de deux jours de Mozilla, la réponse beaucoup plus lente d'Apple est néanmoins acceptable.

Les flux vidéo en direct que vous avez peut-être vus de Pwn2Own ont servi à indiquer si l'attaque de chaque concurrent a réussi, plutôt qu'à révéler des informations sur le fonctionnement réel de l'attaque. Les écrans vidéo utilisés par les concurrents tournaient le dos à la caméra, de sorte que vous pouviez voir les visages des concurrents et des juges, mais pas ce qu'ils tapaient ou regardaient.

Attaques en plusieurs étapes

Comme d'habitude, les nombreux bugs corrigés par Apple dans ces mises à jour incluent des vulnérabilités qui pourraient, en théorie, être enchaînées par des attaquants déterminés.

Un bogue répertorié à condition que "une application avec les privilèges root peut être capable d'exécuter du code arbitraire avec les privilèges du noyau" ne semble pas très inquiétant au premier abord.

Après tout, si un attaquant a déjà des pouvoirs root, il contrôle à peu près votre ordinateur de toute façon.

Mais lorsque vous remarquez un bogue ailleurs dans le système qui est répertorié avec l'avertissement que "une application peut être en mesure d'obtenir des privilèges root", vous pouvez voir comment cette dernière vulnérabilité pourrait être un tremplin pratique et non autorisé vers la première.

Et lorsque vous remarquez également un bug de rendu d'image décrit comme "Le traitement d'un fichier construit de manière malveillante peut entraîner l'exécution de code arbitraire", vous pouvez voir rapidement que :

  • Une page Web piégée peut contenir une image qui lance un code non fiable.
  • Ce code non fiable pourrait implanter une application à faible privilège.
  • L'application indésirable pourrait acquérir des pouvoirs racines pour lui-même.
  • L'application désormais root pourrait injecter son propre code malveillant dans le noyau.

En d'autres termes, théoriquement du moins, il suffit de regarder un site Web apparemment innocent…

… pourrait vous envoyer tomber dans une cascade d'ennuis, tout comme le célèbre dicton qui dit, « Faute de clou, le soulier a été perdu ; faute de fer, le cheval était perdu ; faute de cheval, le message était perdu ; faute de message, la bataille a été perdue... tout cela faute d'un clou de fer à cheval.

Que faire?

C'est pourquoi, comme toujours, nous vous recommandons de mettre à jour tôt ; patch souvent; tout patcher.

Apple, à son crédit, fait de tout patcher la valeur par défaut : vous ne pouvez pas choisir les patchs à déployer et ceux à laisser « pour plus tard ».

La seule exception à cette règle, comme nous l'avons noté ci-dessus, est que pour macOS Big Sur et macOS Catalina, vous recevrez la majeure partie des mises à jour du système d'exploitation en un seul téléchargement géant, suivi d'un processus de téléchargement et de mise à jour séparé pour installer le dernière version de Safari.

Comme d'habitude:

  • Sur votre iPhone ou iPad : Paramètres > Général > Mise à jour du logiciel
  • Sur votre Mac: Menu Pomme > À propos de ce Mac > Mise à jour logicielle…

Horodatage:

Plus de Sécurité nue