Face à la gravité de la situation, Apple a également déployé une mise à jour pour iOS 12 (à partir des iPhone 5s), avec la mouture 12.5.6, presque un an après la 12.5.5. Elle bouche la brèche CVE-2022-32893 (Webkit), qui était déjà exploitée mi-aout. « iOS 12 n’est pas affecté par CVE-2022-32894 », précise le fabricant.
En l’espace de quelques jours, trois failles 0-day, d'ores et déjà exploitées par des pirates, ont été corrigées par Apple et Google. Deux concernent les iPhone, iPad et Mac, tandis que la dernière se trouve dans le navigateur Chrome. Il est bien évidemment conseillé de se mettre à jour dès que possible (si ce n’est pas déjà le cas).
Apple a publié deux bulletins de sécurité (ici et là) pour les failles 0-day CVE-2022-32893 et CVE-2022-32894. Elles ont été remontées au fabricant par un « chercheur anonyme » et sont déjà « activement exploitées ». Dans les deux cas, les conséquences sont importantes puisqu’elles « permettent à un attaquant de provoquer une exécution de code arbitraire à distance », précise l’ANSSI.
CVE-2022-32893 dans Webkit
La première – CVE-2022-32893 – est la plus sévère avec un score CVSS v3.1 de 8.8. Il s’agit d’une « vulnérabilité du type "débordement de tampon" dans le Webkit d’iOS, d’iPadOS et de macOS Monterey ». Pour ne pas laisser macOS Big Sur et Catalina sur le carreau, une mise à jour 15.6.1 a aussi été mise en ligne pour Safari.
L’attaque peut être réalisée à distance (via le réseau) avec une complexité jugée comme « faible » et ne nécessitant aucun privilège particulier. L’attaquant n’a en effet besoin que de persuader sa victime de visiter un site web spécialement conçu pour exploiter cette faille.
CVE-2022-32894 dans le Kernel d’iOS
Concernant la seconde – CVE-2022-32894 –, le vecteur d’attaque est cette fois-ci local via une application spécialement conçue, toujours avec une complexité « faible ». Il s’agit toujours d’un « débordement de tampon », mais dans le Kernel d’iOS cette fois-ci.
Dans les deux cas, les brèches permettent d’exécuter du code arbitraire, mais ce n’est pas tout. La première permet aussi de provoquer un déni de service, la seconde une élévation des privilèges. Elles sont toutes les deux colmatées dans iOS/iPadOS 15.6.1 et macOS Monterey 12.5.1.
CVE-2022-2856 dans Chrome
Ce n’est pas tout, une troisième brèche 0-day a été annoncée ces derniers jours, mais par Google cette fois-ci. Elle concerne le navigateur Chrome et porte la référence CVE-2022-2856. Pour les détails on repassera : « elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur », indique l’ANSSI.
Elle a été corrigée dans les versions 104.0.5112.101 du navigateur pour Linux et macOS et 104.0.5112.102/101 pour Windows. Ce n’est pas la seule brèche corrigée puisqu’elles sont au nombre de onze, mais c’est la seule pour laquelle Google a connaissance qu’un prototype d’exploitation « existe dans la nature ».
watchOS 8.7.1 : pas de faille, mais un bug en moins
Notez enfin qu’Apple a mis en ligne watchOS 8.7.1, mais sans que cela ne soit lié à une faille de sécurité. Il s’agit de prévenir un bug qui pouvait faire redémarrer la montre Watch Series 3 sans raison particulière.
