Les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a récemment ajouté une faille de haute gravité à ses vulnérabilités exploitées connues (KEV) catalogue, affectant un éventail d’appareils Apple, y compris les obligations, iPadOS, macOS, tvOS, et watchos.
CVE-2022-48618: Présentation technique
Suivi comme CVE-2022-48618 avec un score CVSS de 7.8, la vulnérabilité se concentre autour d'un noyau bug de composant, représentant une menace sérieuse.
Apple a reconnu la gravité de la situation, indiquant qu'un attaquant disposant de capacités de lecture et d'écriture arbitraires peut être en mesure de contourner l'authentification du pointeur. Selon l'avis d'Apple, la faille pourrait avoir été exploitée dans des versions d'iOS antérieures 15.7.1.
Pour contrer cette, Apple a rapidement mis en œuvre des contrôles améliorés pour résoudre le problème. Cependant, les détails de la manière dont la vulnérabilité est exploitée dans des scénarios réels restent confidentiels, ajouter un élément de mystère à la situation.
Intéressant, les correctifs pour CVE-2022-48618 ont été discrètement publiés en décembre 13, 2022, parallèlement au lancement d'iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2, et watchos 9.2. Étonnamment, la divulgation publique de cette faille n'a été révélée que plus d'un an plus tard, en janvier 9, 2024.
Cet incident fait écho à une résolution antérieure d'Apple en juillet 2022 quand un défaut similaire (CVE-2022-32844, Note CVSS: 6.3) dans le noyau a été résolu avec la sortie d'iOS 15.6 et iPadOS 15.6. La société a précisé que “Une application dotée d'une capacité de lecture et d'écriture arbitraire du noyau peut être capable de contourner l'authentification du pointeur.,” et cela a été corrigé grâce à une meilleure gestion de l’État.
En réponse à l'exploitation active de CVE-2022-48618, La CISA recommande de toute urgence que le pouvoir exécutif civil fédéral (FCEB) les agences appliquent les correctifs d'ici février 21, 2024. Le sentiment d’urgence souligne les risques potentiels associés à la vulnérabilité.
Ajoutant à la complexité de la situation, Apple a corrigé une faille activement exploitée dans le moteur du navigateur WebKit (CVE-2024-23222, Note CVSS: 8.8), assurer une couverture complète. Ce correctif a été étendu pour englober le casque Apple Vision Pro, disponible dans visionOS 1.0.2.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: