Apple a discrètement déployé plus de mises à jour d'iOS pour corriger une vulnérabilité de sécurité zero-day activement exploitée qu'elle a corrigée plus tôt ce mois-ci dans les nouveaux appareils. La vulnérabilité, trouvée dans WebKit, peut permettre aux attaquants de créer un contenu Web malveillant qui permet l'exécution de code à distance (RCE) sur l'appareil d'un utilisateur.
Une mise à jour sorti mercredi, iOS 12.5.6, s'applique aux modèles suivants : iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch 6e génération.
Le défaut en question (CVE-2022-32893) est décrit par Apple comme un problème d'écriture hors limites dans WebKit. Ce problème a été résolu dans le correctif avec une vérification améliorée des limites. Apple a reconnu que le bug était en cours d'exploitation active et exhorte les utilisateurs des appareils concernés à mettre à jour immédiatement.
Apple avait déjà corrigé la vulnérabilité de certains appareils - parallèlement à une faille du noyau identifiée comme CVE-2022-32894 - plus tôt en août dans iOS 15.6.1. C'est une mise à jour qui couvrait l'iPhone 6S et les versions ultérieures, l'iPad Pro (tous les modèles), l'iPad Air 2 et les versions ultérieures, l'iPad de 5e génération et les versions ultérieures, l'iPad mini 4 et les versions ultérieures et l'iPod touch (7e génération).
La dernière série de correctifs semble être Apple couvrant toutes ses bases en ajoutant une protection pour les iPhones exécutant des versions plus anciennes d'iOS, a noté l'évangéliste de la sécurité Paul Ducklin.
"Nous supposons qu'Apple a dû rencontrer au moins des utilisateurs de haut niveau (ou à haut risque, ou les deux) de téléphones plus anciens qui ont été compromis de cette manière, et a décidé de mettre en place une protection pour tout le monde par mesure de précaution particulière, " il a écrit dans un message sur le blog Sophos Naked Security.
La double couverture par Apple pour corriger le bogue dans les deux versions d'iOS est due au changement dans les versions de la plate-forme exécutées sur quels iPhones, a expliqué Ducklin.
Avant qu'Apple ne publie iOS 13.1 et iPadOS 13.1, les iPhones et iPads utilisaient le même système d'exploitation, appelé iOS pour les deux appareils, a-t-il déclaré. Désormais, iOS 12.x couvre l'iPhone 6 et les appareils antérieurs, tandis qu'iOS 13.1 et les versions ultérieures fonctionnent sur l'iPhone 6 et les appareils sortis après.
L'autre faille zero-day corrigée par Apple plus tôt ce mois-ci, CVE-2022-32894, était une vulnérabilité du noyau qui peut permettre le rachat de l'intégralité de l'appareil. Mais même si iOS 13 a été affecté par cette faille – et a donc reçu un correctif dans la mise à jour précédente – cela n'affecte pas iOS 12, a observé Ducklin, "ce qui évite presque certainement le risque de compromission totale du système d'exploitation lui-même" sur les versions plus anciennes. dispositifs.
WebKit : une large surface de cyberattaques
WebKit est le moteur de navigateur qui alimente Safari et tous les autres navigateurs tiers qui fonctionnent sur iOS. En exploitant CVE-2022-32893, un acteur malveillant peut intégrer du contenu malveillant dans un site Web. Ensuite, si quelqu'un visite le site à partir d'un iPhone affecté, l'acteur peut exécuter à distance des logiciels malveillants sur son appareil.
WebKit en général est une épine persistante dans le pied d'Apple lorsqu'il s'agit d'exposer les utilisateurs à des vulnérabilités, car il se propage au-delà des iPhones et autres appareils Apple vers d'autres navigateurs qui l'utilisent, notamment Firefox, Edge et Chrome, mettant potentiellement des millions d'utilisateurs en danger. un bug donné.
"N'oubliez pas que les bogues WebKit existent, en gros, au niveau de la couche logicielle sous Safari, de sorte que le propre navigateur Safari d'Apple n'est pas la seule application à risque de cette vulnérabilité", a observé Ducklin.
De plus, toute application qui affiche du contenu Web sur iOS à des fins autres que la navigation générale, comme dans ses pages d'aide, son "À propos de" écran, ou même dans un "mini-navigateur" intégré - utilise WebKit sous le capot, a-t-il ajouté.
"En d'autres termes, simplement" éviter Safari "et s'en tenir à un navigateur tiers n'est pas une solution de contournement appropriée [pour les bogues WebKit]", a écrit Ducklin.
Apple sous attaque
Alors que les utilisateurs et les professionnels ont traditionnellement considéré les plates-formes Mac et iOS d'Apple comme plus sécurisées que Microsoft Windows - et cela a généralement été vrai pour un certain nombre de raisons - le vent commence à tourner, selon les experts.
En effet, un paysage de menaces émergent montrant plus d'intérêt à cibler des technologies Web plus omniprésentes et non le système d'exploitation lui-même a élargi la cible sur le dos d'Apple, selon un rapport de menace publié en janvier, et la stratégie de correctifs défensifs de la société en est le reflet.
Apple a corrigé au moins quatre failles zero-day cette année, avec deux correctifs pour les vulnérabilités iOS et macOS précédentes à venir Janvier et un en Février – ce dernier a corrigé un autre problème activement exploité dans WebKit.
De plus, l'année dernière, 12 des 57 menaces zero-day que les chercheurs du Project Zero de Google suivi étaient liés à Apple (c'est-à-dire plus de 20 %), avec des problèmes affectant macOS, iOS, iPadOS et WebKit.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
