iOS 15.3 corrige 10 vulnérabilités de sécurité majeures affectant Safari, l'accès root, etc.

En plus des mises à jour logicielles Apple d'aujourd'hui pour iPhone, iPad, Mac, Apple Watch et plus encore, divers problèmes de sécurité sont résolus. iOS 15.3 corrige spécifiquement 10 vulnérabilités de sécurité remarquables, allant des fuites de navigation Web Safari aux vulnérabilités qui pourraient accorder des privilèges root à des applications malveillantes.

Nous savions que les vulnérabilités de navigation Web et d'identification de compte Google avaient été corrigées à l'avance lorsque les versions RC d'iOS 15.3 et de macOS 12.2 sont arrivées. Cependant, Apple a maintenant détaillé la liste complète des correctifs de sécurité, montrant qu'ils ciblent iOS. 15.3, documentation watchOS pour 8.4 et versions ultérieures.

macOS 12.2 peut contenir le même correctif, mais Apple n'a pas encore publié de mise à jour de sécurité pour celui-ci.

En plus de la vulnérabilité de navigation Web Safari, d'autres problèmes de sécurité ont été corrigés, notamment la possibilité pour les applications d'obtenir les privilèges root, la possibilité d'exécuter du code arbitraire avec les privilèges du noyau, un accès incorrect aux fichiers utilisateur via iCloud, et bien plus encore.

---

Color Sync

Applicable à : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5ème génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7ème génération)

Impact : Le traitement d'un fichier conçu de manière malveillante peut conduire à l'exécution de code arbitraire

Description : Un problème de corruption de mémoire a été résolu avec une vérification améliorée.

CVE-2022-22584 : Mickey Jin de Trend Micro (@patch1t)

Crash Reporter

S'applique à : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures , iPad mini 4 et versions ultérieures et iPod touch (7e génération)

Impact : une application malveillante peut être en mesure d'obtenir un accès root

Description : Un problème de logique a été résolu avec une validation améliorée.

CVE-2022-22578 : Chercheur anonyme

iCloud

S'applique à : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures, et iPod touch (7e génération)

Impact : Une application peut accéder aux fichiers de l'utilisateur

Description : Un problème existe dans la logique de validation du chemin des liens symboliques. Ce problème a été résolu avec un nettoyage amélioré des chemins.

CVE-2022-22585 : Huo Zhipeng (@ R3dF09) de Tencent Security Xuanwu Lab (https://xlab.tencent.com)

IOMobileFrameBuffer

Applicable à : iPhone 6s et modèles plus récents, iPad Pro (tous modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)

Impact : une application malveillante peut être capable d'exécuter des commandes arbitraires avec le code des privilèges du noyau. Apple est au courant de rapports selon lesquels ce problème pourrait être activement exploité.

Description : le problème de corruption de la mémoire a été résolu avec une validation améliorée des entrées.

CVE-2022-22587 : Chercheur anonyme, Meysam Firouzi (@R00tkitSMM) de MBition – Mercedes-Benz Innovation Labs, Siddharth Aeri (@b1n4r1b01)

Core

S'applique à : iPhone 6s et modèles plus récents, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)

Impact : des applications malveillantes peuvent Possibilité d'exécuter du code arbitraire avec les privilèges du noyau

Description : A Le problème de dépassement de tampon a été résolu grâce à une gestion améliorée de la mémoire.

CVE-2022-22593 : Peter Nguyễn Vũ Hoàng de STAR Labs

Entrée/sortie du modèle

S'applique à : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures, et iPod touch (7e génération)

Impact : le traitement d'un fichier STL conçu de manière malveillante peut entraîner l'arrêt inattendu d'une application ou l'exécution de code arbitraire

Description : Corrigez déjà les fuites d'informations grâce à une gestion améliorée de l'état.

CVE-2022-22579 : Mickey Jin de Trend Micro (@patch1t)

Network Suite

S'applique à : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures , iPad mini 4 et versions ultérieures et iPod touch (7e génération)

Impact : le traitement d'un e-mail malveillant peut entraîner l'exécution d'un javascript arbitraire

Description : validation résolue avec une question améliorée de vérification des entrées.

CVE-2022-22589 : Heige de KnownSec 404 Team (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com) (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures, et iPod touch (7e génération)

Impact : le traitement de contenu Web malveillant peut entraîner l'exécution de code arbitraire Description : un problème d'utilisation après libération a été résolu grâce à une gestion améliorée de la mémoire.

CVE-2022-22590 : Toan Pham de l'équipe Ocean Security Orca (security.sea.com)

Network Suite

Fonctionne avec : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)

Impact : traitement de contenu Web malveillant peut empêcher l'application des politiques de sécurité du contenu

Description : Un problème de logique a été résolu grâce à une gestion améliorée de l'état.

CVE-2022-22592 : Prakash (@1lastBr3ath)

WebKit Storage

S'applique à : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures, et iPod touch (7e génération)

Impact : un site Web peut être en mesure de suivre les informations sensibles des utilisateurs

Description : Un problème inter-domaines dans l'API IndexDB a été résolu grâce à une résolution améliorée de la validation des entrées.

CVE-2022-22594 : Martin Bajanik de FingerprintJS

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!