Les pirates exploitent actuellement des vulnérabilités zero-day dans les noyaux d'iOS, d'iPadOS et de macOS, ainsi que dans les navigateurs Chrome et Safari. Mettez à jour vos systèmes !
Google et Apple ont corrigé presque simultanément une série de failles zero-day dans leurs logiciels exploités par des pirates. Par conséquent, nous vous recommandons de mettre à jour les produits concernés.
Ainsi, Google a publié des correctifs pour 11 failles de sécurité dans le navigateur Chrome. Cela a un niveau de vulnérabilité sérieux et est malheureusement exploité. Ce bug (CVE-2022-2856) est contenu dans le module " Intent " qui permet de programmer des actions en fonction d'un contexte précis. Exemple : Lancer une application à partir d'une page Web. Le souci est que les données traitées par ce module ne sont pas entièrement validées à réception et peuvent contenir du code malveillant. Cela n'a pas échappé à certains hackers.
Google n'a publié aucun détail sur cette vulnérabilité zero-day, mais les chercheurs en sécurité de Sophos ont leurs propres idées. " Étant donné que l'exploit connu consiste à alimenter en silence des types de données à risque qui sont normalement bloqués pour des raisons de sécurité dans des applications locales, le danger semble assez évident ”a écrit l'éditeur dans un article de blog.
C'est la cinquième fois depuis le début de l'année que Google corrige une vulnérabilité de navigateur zero-day. La vulnérabilité a été découverte par deux ingénieurs de l'équipe Google Threat Analysis Group, de sorte que l'entreprise n'a pas à payer pour cette assurance. Pour vérifier si votre navigateur est à jour, accédez à Aide → À propos de Google Chrome . Vous devriez voir un numéro de version supérieur ou égal à 104.0.5112.101.
Exécution de code arbitraire à distance dans WebKit
Apple met à jour d'urgence iOS, macOS et iPadOS en raison de deux vulnérabilités Zero-Day activement exploitées par des pirates Le premier (CVE-2022-32894) est dû à un bogue d'écriture en mémoire qui peut permettre l'exécution de code arbitraire avec les privilèges du noyau. Le second (CVE-2022-32893) est également un bug d'écriture en mémoire, mais dans WebKit. Selon Apple, cette faille pourrait permettre la création de contenu Web malveillant susceptible d'exécuter du code arbitraire au niveau du navigateur. C'est donc particulièrement préoccupant.
Les appareils concernés par ces deux failles sont l'iPhone 6s et plus récent, l'iPad Pro, l'iPad Air 2 et plus récent, l'iPad 5e génération et plus récent, l'iPad mini 4 et plus récent, et l'iPod Touch ( 7 e générations). Juste pour être sûr, assurez-vous d'avoir iOS 15.6.1, iPadOS 15.6.1 et macOS Monterey 12.5.1.
Source : Le registre
