Logo Zéphyrnet

Apple corrige une faille de sécurité iOS "activement exploitée"

Date :

Mercredi soir, Apple a publié une mise à jour iOS urgente avec des correctifs pour 11 failles de sécurité documentées et a averti que l'une des vulnérabilités "pourrait avoir été activement exploitée".

Dans un avis barebones, Apple a reconnu que le jour zéro visait un problème de corruption de la mémoire dans IOMobileFrameBuffer, une extension du noyau iOS souvent ciblée.

Comme à l'accoutumée, la société de Cupertino, en Californie, n'a partagé aucun détail sur l'exploitation active ni aucun indicateur de compromission pour aider les défenseurs à rechercher des signes d'intrusion.

Le bogue CVE-2022-22587 est décrit simplement comme un problème de corruption de mémoire qui permet à une application malveillante d'exécuter du code arbitraire avec les privilèges du noyau. 

[ LIS: Apple envoie un correctif urgent pour FORCEDENTRY Zero-Days ]

"Apple est au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité", a déclaré la société de manière énigmatique. Fait intéressant, Apple a crédité trois chercheurs différents pour avoir signalé la faille et aidé avec le correctif. 

En plus du jour zéro documenté, le correctif iOS 15.3 corrige les failles d'exécution de code dangereuses dans ColorSync, le noyau et le moteur de rendu WebKit.

La mise à jour couvre également l'escalade des privilèges, la fuite de données et les failles de déni de service dans plusieurs composants iOS. 

Séparément, Apple poussé une mise à jour de sécurité pour macOS Catalina pour résoudre plusieurs problèmes de sécurité et un Correctif du navigateur Safari couvrant plusieurs défauts de sécurité WebKit.

Connexe: Apple envoie un correctif urgent pour FORCEDENTRY Zero-Days

Connexe: Le nouvel exploit iOS Zero-Click bat le bac à sable Apple 'BlastDoor'

Connexe: Apple met en garde contre de nouvelles attaques Zero-Day sur iOS, macOS

voir le compteur

Ryan Naraine est rédacteur en chef de SecurityWeek et animateur du populaire Conversations sur la sécurité série podcast. Il est journaliste et stratège en cybersécurité avec plus de 20 ans d'expérience dans le domaine de la sécurité informatique et des tendances technologiques.
Ryan a mis en place des programmes d'engagement en matière de sécurité dans de grandes marques mondiales, notamment Intel Corp., Bishop Fox et Kaspersky GReAT. Il est co-fondateur de Threatpost et de la série de conférences mondiale SAS. La carrière de Ryan en tant que journaliste comprend des signatures dans des publications technologiques majeures, notamment Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag et PC World.
Ryan est directeur de l'association à but non lucratif Security Tinkerers et conférencier régulier lors de conférences sur la sécurité à travers le monde.
Suivez Ryan sur Twitter @ryanaraine.

Chroniques précédentes de Ryan Naraine :
Mots clés:

spot_img

Dernières informations

spot_img