Vulnérabilités critiques dans des produits Apple
Date de publication :
Plusieurs vulnérabilités affectant différents produits Apple ont été publiées :
1 - Cette première vulnérabilité concerne Apple XCode, présent dans Apple macOS Monterey.
CVE-2022-26747[Score CVSS v3.1 : 8.4]
Une faille dans l’environnement de développement intégré de Apple XCode permet à un attaquant, grâce à l’utilisation d’une application spécialement forgée, d’obtenir des privilèges élevés.
2- Ce deuxième volet de vulnérabilités concerne Apple macOS Big Sur et Apple macOS Monterey.
CVE-2022-26770[Score CVSS v3.1 : 8.4]
Un défaut de lecture hors limites dans le composant Intel Graphics Driver permet à un attaquant, grâce à l’utilisation d’une application spécialement forgée, d’exécuter du code arbitraire avec les privilèges les plus élevés.
CVE-2022-26723 [Score CVSS v3.1 : 9.8]
Une corruption de mémoire dans le composant SMB permet à un attaquant distant, grâce à l’utilisation d’un partage réseau Samba malveillant, d’exécuter du code arbitraire.
CVE-2022-26715 [Score CVSS v3.1 : 8.4]
Un défaut d’écriture hors limites dans le composant SMB permet à un attaquant, grâce à l’utilisation d’une application spécialement forgée, d’obtenir des privilèges élevés.
CVE-2022-26718[Score CVSS v3.1 : 8.4]
Un défaut de lecture hors limites dans le composant SMB permet à un attaquant, grâce à l’utilisation d’une application spécialement forgée, d’obtenir des privilèges élevés.
CVE-2022-26720[Score CVSS v3.1 : 8.4]
Un défaut d’écriture hors limites dans le composant Intel Graphics Driver permet à un attaquant, grâce à l’utilisation d’une application spécialement forgée, d’exécuter du code arbitraire avec les privilèges les plus élevés.
CVE-2022-26721, CVE-2022-26722[Score CVSS v3.1 : 8.4]
Une erreur d'initialisation de mémoire dans le composant CVMS permet à un attaquant, grâce à l’utilisation d’une application spécialement forgée, d’obtenir les privilèges les plus élevés.
CVE-2022-26761[Score CVSS v3.1 : 8.4]
Une corruption de mémoire dans le composant Wifi, permet à un attaquant, grâce à l’utilisation d’une application spécialement forgée, d’exécuter du code arbitraire avec les privilèges les plus élevés.
3 – Ce troisième volet de vulnérabilités concerne Apple iOS et iPadOS
CVE-2022-26709, CVE-2022-26710, CVE-2022-26717[Score CVSS v3.1 : 8.8]
Un défaut d’utilisation de données en mémoire après libération dans le composant WebKit permet à un attaquant, en persuadant une victime de visiter un site Web forgé, d’exécuter du code arbitraire sur le système.
CVE-2022-26711[Score CVSS v3.1 : 8.8]
Un dépassement d'entier dans le composant ImageIO permet à un attaquant, en persuadant une victime de visiter un site Web forgé, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.
CVE-2022-26716, CVE-2022-26719[Score CVSS v3.1 : 8.8]
Une corruption de mémoire dans le composant WebKit permet à un attaquant, en persuadant une victime de visiter un site Web forgé, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Élévation de privilèges
Exécution de code arbitraire
Déni de service
Criticité
Score CVSS v3.1: 9.8 max (critique)
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour la CVE-2022-26747
CWE-20: Improper Input Validation
Pour les CVE-2022-26770 et CVE-2022-26718
Pour les CVE-2022-26715 et CVE-2022-26720
Pour les CVE-2022-26721 et CVE-2022-26722
CWE-665: Improper Initialization
Pour les CVE-2022-26761, CVE-2022-26723, CVE-2022-26719 et CVE-2022-26716
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
Pour les CVE-2022-26709, CVE-2022-26710 et CVE-2022-26717
Pour la CVE-2022-26711
CWE-190: Integer Overflow or Wraparound
Détails sur l’exploitation
Pour les CVE-2022-26747, CVE-2022-26770, CVE-2022-26715, CVE-2022-26718, CVE-2022-26720, CVE-2022-26721, CVE-2022-26722 et CVE-2022-26761 :
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-26723
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour les CVE-2022-26709, CVE-2022-26710, CVE-2022-26717, CVE-2022-26711, CVE-2022-26716 et CVE-2022-26719
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits suivants sont affectés par ces vulnérabilités :
Pour la CVE-2022-26747
Apple Xcode 13.3
Pour les CVE-2022-26770, CVE-2022-26723, CVE-2022-26715, CVE-2022-26718, CVE-2022-26720, CVE-2022-26721, CVE-2022-26722 et CVE-2022-26761
Apple macOS Big Sur 11.6.5
Apple macOS Monterey 12.0.0
Pour les CVE-2022-26709, CVE-2022-26710, CVE-2022-26717, CVE-2022-26711, CVE-2022-26716 et CVE-2022-26719
Apple iOS 15.4
Apple iPadOS 15.4
Solutions ou recommandations
Pour la CVE-2022-26747
- Mettre à jour Xcode à la version 13.4. Des informations complémentaires sont disponibles ici.
Pour lesCVE-2022-26770, CVE-2022-26723, CVE-2022-26715, CVE-2022-26718, CVE-2022-26720, CVE-2022-26721, CVE-2022-26722 et CVE-2022-26761
- Mettre à jour macOS Big Sur à la version 11.6.6. Des informations complémentaires sont disponibles ici.
- Mettre à jour macOS Monterey à la version 12.4. Des informations complémentaires sont disponibles ici.
Pour les CVE-2022-26709, CVE-2022-26710, CVE-2022-26717, CVE-2022-26711, CVE-2022-26716 et CVE-2022-26719
- Mettre à jour iOS 15.5 et iPadOS à la version 15.5. Des informations complémentaires sont disponibles ici.
Liens
- Support Apple HT213258
- Support Apple HT213261
- Support Apple HT213256
- Support Apple HT213257
- Mitre CVE-2022-26747
- Mitre CVE-2022-26770
- Mitre CVE-2022-26723
- Mitre CVE-2022-26715
- Mitre CVE-2022-26718
- Mitre CVE-2022-26720
- Mitre CVE-2022-26721
- Mitre CVE-2022-26722
- Mitre CVE-2022-26761
- Mitre CVE-2022-26709
- Mitre CVE-2022-26710
- Mitre CVE-2022-26711
- Mitre CVE-2022-26716
- Mitre CVE-2022-26717
- Mitre CVE-2022-26719