Vulnérabilités dans Apple MacOS Monterrey
Date de publication :
Apple macOS Monterey est la dernière version majeure du système d’exploitation MacOS.
CVE-2022-22669[Score CVSS v3.1: 7.8]
Une vulnérabilité dans le composant AMD de Apple macOS Monterey peut permettre à un attaquant d’exécuter du code arbitraire avec les privilèges le plus élevés.
CVE-2022-22665[Score CVSS v3.1: 7.8]
Un défaut logique dans le composant AppKit de Apple macOS Monterey peut permettre à un attaquant d’élever ses privilèges.
CVE-2022-22664[Score CVSS v3.1: 7.8]
Un problème d’écriture hors limites dans le programme GarageBand MIDI de Apple macOS Monterey peut permettre à un attaquant de créer un fichier spécialement forgé en vue d’exécuter du code arbitraire ou de mener une attaque par déni de service.
CVE-2022-22657[Score CVSS v3.1: 7.8]
Un défaut d’initialisation de la mémoire dans le programme GarageBand MIDI de Apple macOS Monterey peut permettre à un attaquant de créer un fichier spécialement forgé en vue d’exécuter du code arbitraire ou de mener une attaque par déni de service.
CVE-2022-22651[Score CVSS v3.1: 7.5]
Un problème d’écriture hors limites dans la composante SMB de Apple macOS Monterey peut permettre à un attaquant d’envoyer une requête spécialement forgée en vue de compromettre la mémoire du noyau ou de mener une attaque par déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation de privilèges
- Exécution de code arbitraire
- Déni de service
Criticité
- Score CVSS v3.1: 7.8 max
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentées.
Des correctifs existent
- Oui, pour l’ensemble des CVE présentées.
Des mesures de contournement existent
- Non, pour l’ensemble des CVE présentées.
Les vulnérabilités exploitées sont du type
- Pour la CVE-2022-22669
CWE-416: Use After Free
- Pour la CVE-2022-22664
CWE-125: Out-of-bounds Read
- Pour la CVE-2022-22651
CWE-787: Out-of-bounds Write
- Pour la CVE-2022-22665
CWE 264 : Permissions, Privileges, and Access Controls
- Pour la CVE-2022-22657
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
Détails sur l’exploitation
Pour la CVE-2022-22669, CVE-2022-22665
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-22664, CVE-2022-22657
- Vecteur d’attaque : Local.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour la CVE-2022-22651
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Aucune.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
- Ces vulnérabilités affectent les versions de MacOS Monterey antérieures à 12.3.
Solutions ou recommandations
- Mettre à jour le système d’exploitation MacOS Monterey à la version 12.3. Des informations supplémentaires sont disponibles ici.