Parfois, nos appareils cachent des failles extrêmement inquiétantes pour la sécurité de nos données personnelles. C'était notamment le cas de plusieurs produits conçus par Apple avant que la firme américaine ne déploie en catastrophe des correctifs.
Des failles exploitées mais corrigées
Ce jeudi 31 mars 2022, Apple a procédé au déploiement de mises à jour pour les supports iOS (version 15.4.1), iPadOS (15.4.1) et macOS Monterey (12.3.1). Elles permettent de corriger deux vulnérabilités zéro day qui pouvaient permettre à des pirates d'accéder au composant le plus sensible de nos appareils : leur noyau. La première, sobrement nommée CVE-2022-22675, impactait les trois OS.
En exploitant cette faille, des personnes malintentionnées étaient en mesure d'exécuter un code malveillant avec les privilèges du noyau. Pour faire simple, un pirate pouvait alors prendre le contrôle de l'appareil visé afin d'en récupérer les données et d'ajouter ou supprimer des fonctionnalités. C'est un brin embêtant et de l'aveu même d'Apple, cette faiblesse dans le système a été « activement exploitée » avant sa correction cette semaine.
Quand y en a plus, y en a encore
Pour ce qui est de la seconde faille d'envergure, CVE-2022-22674, elle résulte d'un souci de lecture hors limites qui aurait permis de divulguer la mémoire du noyau. Elle impactait un pilote graphique Intel sur Mac pour permettre au pirate de dérober des données privées comme des mots de passe, par exemple.
Quoi qu'il en soit, tout semble être rentré dans l'ordre maintenant. Depuis le mois de janvier, Apple a déjà corrigé cinq failles zéro day sur ses appareils contre environ une douzaine sur toute l'année 2021.
Source : Arstechnica
