Les pirates exploitent actuellement des failles zero-day dans les navigateurs Chrome et Safari, ainsi que dans le noyau d’iOS, d’iPadOS et de macOS. Mettez vos systèmes à jour !
Google et Apple viennent, presque concomitamment, de corriger dans leurs logiciels une série de failles zero-day exploitées par des pirates. Les utilisateurs sont donc vivement invités à mettre à jour les produits concernés.
Ainsi, Google vient de diffuser des patchs pour onze failles de sécurité dans le navigateur Chrome, dont une d’un niveau critique et, malheureusement, exploitée dans la nature. Ce bug (CVE-2022-2856) est logé dans le module « Intent » qui permet de programmer des actions en fonction d’un certain contexte. Exemple : lancer une appli à partir d’une page web. Le souci, c’est que les données manipulées par ce module n’étaient pas suffisamment vérifiées à leur réception et pouvaient de ce fait contenir du code malveillant. Ce qui n’a pas échappé à certains pirates.
Google ne livre aucun autre détail sur cette faille zero-day, mais les chercheurs en sécurité de Sophos ont leur petite idée. « Le danger semble plutôt évident si l’exploit connu consiste à alimenter silencieusement une application locale avec le type de données à risque qui seraient normalement bloquées pour des raisons de sécurité », écrit l’éditeur dans une note de blog.
C’est la cinquième fois depuis le début de l’année que Google corrige une faille zero-day dans son navigateur. La firme n’aura pas de prime à payer pour cette fois, car cette faille a été trouvée par deux ingénieurs de l’équipe Google Threat Analysis Group. Pour vérifier si votre navigateur est à jour, il faut aller dans « Aide → À propos de Google Chrome ». Vous devez voir un numéro de version supérieur ou égal à 104.0.5112.101.
Exécution de code arbitraire à distance dans WebKit
De son côté, Apple a diffusé en urgence des mises à jour pour iOS, macOS et iPadOS, en raison de deux failles zero-day activement exploitées par des pirates. La première (CVE-2022-32894) résulte d’un bogue d’écriture en mémoire et permettrait d’exécuter du code arbitraire avec les privilèges du noyau. La seconde (CVE-2022-32893) est également un bogue d’écriture en mémoire, mais dans WebKit. Selon Apple, cette faille permettrait de créer des contenus web malveillants capables d’exécuter du code arbitraire au niveau du navigateur. Ce qui est donc particulièrement inquiétant.
Les appareils concernés par ces deux failles sont les iPhone 6s ou supérieur, les iPadPro, les iPad Air 2 et supérieur, les iPad 5e génération et supérieur, les iPad mini 4 et supérieur et les iPod Touch (7e génération). Pour être tranquille, vérifiez que vous ayez les versions iOS 15.6.1, iPadOS 15.6.1 et macOS Monterey 12.5.1.
Source :
The Register