Dans le cadre de la mise à jour de ses systèmes d’exploitation, Apple corrige des vulnérabilités de sécurité. Elles sont nombreuses avec plus d’une trentaine pour iOS 15.5 et iPadOS 15.5, et plus de soixante-dix pour macOS 12.4.
Apple n’a pas pour habitude d’attribuer des niveaux de dangerosité aux vulnérabilités de sécurité. Toutefois, une dizaine de celles désormais corrigées peuvent être considérées critiques en raison d’une possibilité d’exécution de code arbitraire.
Le groupe de Cupertino ne fait pas état d’une exploitation active dans des attaques pour des failles nouvellement comblées dans iOS 15.5, iPadOS 15.5 et macOS 12.4. C’est par contre le cas avec une vulnérabilité corrigée dans watchOS 8.6 et tvOS 15.5.
Une 0day avec tvOS et watchOS
En l’occurrence, cette vulnérabilité référencée CVE-2022-22675 avait déjà été corrigée à la toute fin du mois de mars dans iOS 15.4.1, iPadOS 15.4.1 et macOS 12.3.1. À l’époque, elle était également 0day avec une exploitation active connue antérieure à la disponibilité du correctif.
Le bug de sécurité touche le composant AppleAVD et permet pour une application d’exécuter du code arbitraire avec des privilèges liés au noyau. Sachant que AppleAVD est un framework pour le décodage audio et vidéo.
Pour la vulnérabilité CVE-2022-22675, Apple mentionne toujours le signalement par un chercheur en sécurité anonyme. Il n’est pas clair pourquoi la correction avec watchOS et tvOS a été ultérieure d’un mois et demi par rapport à iOS, iPadOS et macOS. Sans doute pour un danger moindre.