![nouveaux bugs de sécurité iOS](https://i0.wp.com/high-phone.info/wp-content/uploads/2024/11/Apple-corrige-des-dizaines-de-failles-de-securite-avec-iOS.jpg?resize=900%2C450&ssl=1)
Apple a publié aujourd’hui iOS 15.5, macOS 12.4 et plus avec des mises à jour telles que de nouvelles fonctionnalités pour Apple Cash, l’application Podcasts et le correctif de webcam Studio Display. Cependant, les correctifs de sécurité des versions actuelles constituent une raison majeure pour mettre à jour vos appareils. iOS 15.5 comprend près de 30 correctifs de sécurité tandis que macOS 12.4 en propose plus de 50.
Apple a partagé tous les détails des correctifs de sécurité de son dernier logiciel pour iPhone, iPad, Mac et plus encore sur son site Web. page d’assistance.
Pour iOS et Mac, de nombreuses failles pourraient permettre à des applications malveillantes d’exécuter du code arbitraire avec les privilèges du noyau. Un autre pour iOS indique « Un attaquant distant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire. »
Plus précisément sur Mac, l’un des plus de 50 défauts corrigés était que « les informations sur l’emplacement des photos peuvent persister après leur suppression avec Preview Inspector ».
Des mises à jour de sécurité importantes sont également disponibles pour macOS Big Sur avec 11.6.6, macOS Catalina, Xcode 13.4 et watchOS 8.6.
Vous pouvez en savoir plus sur toutes les vulnérabilités corrigées avec les dernières mises à jour ci-dessous :
Table des matières
Correctifs de sécurité iOS et macOS :
iOS 15.5 et iPadOS 15.5
Sortie le 16 mai 2022
AppleAVD
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème d’utilisation après utilisation gratuite a été résolu avec une gestion améliorée de la mémoire.
CVE-2022-26702 : un chercheur anonyme
AppleGraphicsControl
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : le traitement d’une image conçue de manière malveillante peut conduire à l’exécution de code arbitraire.
Description : un problème de corruption de mémoire a été résolu avec une validation d’entrée améliorée.
CVE-2022-26751 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
AVEVideoEncoder
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème d’écriture hors limites a été résolu grâce à une vérification améliorée des limites.
CVE-2022-26736 : un chercheur anonyme
CVE-2022-26737 : un chercheur anonyme
CVE-2022-26738 : un chercheur anonyme
CVE-2022-26739 : un chercheur anonyme
CVE-2022-26740 : un chercheur anonyme
Kit de pilotes
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges système
Description : un problème d’accès hors limites a été résolu grâce à une vérification améliorée des limites.
CVE-2022-26763 : Linus Henze de Pinauten GmbH (pinauten.de)
Pilotes GPU
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
CVE-2022-26744 : un chercheur anonyme
ImageIO
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : un attaquant distant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.
Description : un problème de dépassement d’entier a été résolu avec une validation d’entrée améliorée.
CVE-2022-26711 : action du Blacksun Hackers Club travaillant avec Trend Micro Zero Day Initiative
IOKit
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : une condition de concurrence critique a été résolue avec un verrouillage amélioré.
CVE-2022-26701 : chenyuwang (@mzzzz__) du laboratoire Tencent Security Xuanwu
IOMobileFrameBuffer
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
CVE-2022-26768 : un chercheur anonyme
IOSurfaceAccelerator
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
CVE-2022-26771 : un chercheur anonyme
Noyau
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de mémoire a été résolu avec une validation améliorée.
CVE-2022-26714 : Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)
Noyau
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème d’utilisation après utilisation gratuite a été résolu avec une gestion améliorée de la mémoire.
CVE-2022-26757 : Ned Williamson de Google Project Zero
Noyau
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : un attaquant ayant déjà réussi à exécuter le code du noyau peut être en mesure de contourner les atténuations de la mémoire du noyau.
Description : un problème de corruption de mémoire a été résolu avec une validation améliorée.
CVE-2022-26764 : Linus Henze de Pinauten GmbH (pinauten.de)
Noyau
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : un attaquant malveillant doté de capacités de lecture et d’écriture arbitraires peut être en mesure de contourner l’authentification du pointeur.
Description : une condition de concurrence critique a été résolue par une gestion améliorée des états.
CVE-2022-26765 : Linus Henze de Pinauten GmbH (pinauten.de)
Services de lancement
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : un processus en bac à sable peut être en mesure de contourner les restrictions du bac à sable
Description : un problème d’accès a été résolu avec des restrictions supplémentaires du bac à sable sur les applications tierces.
CVE-2022-26706 : Arsénii Kostromine (0x3c3e)
libxml2
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : un attaquant distant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.
Description : un problème d’utilisation après utilisation gratuite a été résolu avec une gestion améliorée de la mémoire.
CVE-2022-23308
Remarques
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Le traitement d’une entrée volumineuse peut conduire à un déni de service
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2022-22673 : Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College of Technology Bhopal
Navigation privée Safari
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : un site Web malveillant peut être capable de suivre les utilisateurs en mode de navigation privée de Safari
Description : un problème de logique a été résolu grâce à une gestion améliorée de l’état.
CVE-2022-26731 : un chercheur anonyme
Sécurité
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : une application malveillante peut être capable de contourner la validation de signature
Description : un problème d’analyse des certificats a été résolu par des vérifications améliorées.
CVE-2022-26766 : Linus Henze de Pinauten GmbH (pinauten.de)
Raccourcis
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : une personne ayant un accès physique à un appareil iOS peut accéder aux photos depuis l’écran de verrouillage.
Description : un problème d’autorisation a été résolu par une gestion améliorée de l’état.
CVE-2022-26703 : Salman Syed (@slmnsd551)
Kit Web
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
WebKit Bugzilla : 238178
CVE-2022-26700 : Ryuzaki
Kit Web
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code arbitraire.
Description : un problème d’utilisation après utilisation gratuite a été résolu avec une gestion améliorée de la mémoire.
WebKit Bugzilla : 236950
CVE-2022-26709 : Chijin Zhou de ShuiMuYuLin Ltd et le laboratoire Tsinghua wingtecher
WebKit Bugzilla : 237475
CVE-2022-26710 : Chijin Zhou de ShuiMuYuLin Ltd et le laboratoire Tsinghua wingtecher
WebKit Bugzilla : 238171
CVE-2022-26717 : Jeonghoon Shin de Theori
Kit Web
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code arbitraire.
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
WebKit Bugzilla : 238183
CVE-2022-26716 : SorryMybad (@S0rryMybad) de Kunlun Lab
WebKit Bugzilla : 238699
CVE-2022-26719 : Dongzhuo Zhao travaille avec ADLab de Venustech
WebRTC
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : l’auto-aperçu vidéo dans un appel webRTC peut être interrompu si l’utilisateur répond à un appel téléphonique
Description : un problème de logique dans la gestion des médias simultanés a été résolu par une gestion améliorée des états.
WebKit Bugzilla : 237524
CVE-2022-22677 : un chercheur anonyme
Wi-Fi
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : une application malveillante peut divulguer une mémoire restreinte
Description : un problème de corruption de mémoire a été résolu avec une validation améliorée.
CVE-2022-26745 : un chercheur anonyme
Wi-Fi
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : une application malveillante peut être en mesure d’élever les privilèges
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
CVE-2022-26760 : 08Tc3wBB de l’équipe ZecOps Mobile EDR
Wi-Fi
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : Un attaquant distant peut provoquer un déni de service
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2015-4142 : Kostya Kortchinsky de l’équipe de sécurité de Google
Wi-Fi
Disponible pour : iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
Impact : une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges système
Description : un problème de corruption de la mémoire a été résolu par une gestion améliorée de la mémoire.
CVE-2022-26762 : Wang Yu de Cyberserval
![](https://i0.wp.com/high-phone.info/wp-content/uploads/2024/11/Apple-corrige-des-dizaines-de-failles-de-securite-avec-iOS.png?w=900&ssl=1)
Reconnaissance supplémentaire
AppleMobileFileIntegrity
Nous tenons à remercier Wojciech Reguła (@_r3ggi) de SecuRing pour son aide.
FaceTime
Nous tenons à remercier Wojciech Reguła (@_r3ggi) de SecuRing pour son aide.
Kit Web
Nous tenons à remercier James Lee, un chercheur anonyme pour son aide.
Wi-Fi
Nous tenons à remercier 08Tc3wBB de l’équipe ZecOps Mobile EDR pour son aide.
macOS Monterey 12.4
Sortie le 16 mai 2022
DMLA
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
CVE-2022-26772 : un chercheur anonyme
DMLA
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de débordement de mémoire tampon a été résolu par une gestion améliorée de la mémoire.
CVE-2022-26741 : ABC Research sro
CVE-2022-26742 : ABC Research sro
CVE-2022-26749 : ABC Research sro
CVE-2022-26750 : ABC Research sro
CVE-2022-26752 : ABC Research sro
CVE-2022-26753 : ABC Research sro
CVE-2022-26754 : ABC Research sro
apache
Disponible pour : macOS Monterey
Impact : plusieurs problèmes dans Apache
Description : plusieurs problèmes ont été résolus en mettant à jour Apache vers la version 2.4.53.
CVE-2021-44224
CVE-2021-44790
CVE-2022-22719
CVE-2022-22720
CVE-2022-22721
AppleGraphicsControl
Disponible pour : macOS Monterey
Impact : le traitement d’une image conçue de manière malveillante peut conduire à l’exécution de code arbitraire.
Description : un problème de corruption de mémoire a été résolu avec une validation d’entrée améliorée.
CVE-2022-26751 : Michael DePlante (@izobashi) de Trend Micro Zero Day Initiative
AppleScript
Disponible pour : macOS Monterey
Impact : Le traitement d’un binaire AppleScript conçu de manière malveillante peut entraîner l’arrêt inattendu de l’application ou la divulgation de la mémoire du processus.
Description : un problème de lecture hors limites a été résolu par une validation améliorée des entrées.
CVE-2022-26697 : Qi Sun et Robert Ai de Trend Micro
AppleScript
Disponible pour : macOS Monterey
Impact : Le traitement d’un binaire AppleScript conçu de manière malveillante peut entraîner l’arrêt inattendu de l’application ou la divulgation de la mémoire du processus.
Description : un problème de lecture hors limites a été résolu grâce à une vérification améliorée des limites.
CVE-2022-26698 : Qi Sun de Trend Micro
AVEVideoEncoder
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème d’écriture hors limites a été résolu grâce à une vérification améliorée des limites.
CVE-2022-26736 : un chercheur anonyme
CVE-2022-26737 : un chercheur anonyme
CVE-2022-26738 : un chercheur anonyme
CVE-2022-26739 : un chercheur anonyme
CVE-2022-26740 : un chercheur anonyme
Contacts
Disponible pour : macOS Monterey
Impact : Un plug-in peut être capable d’hériter des autorisations de l’application et d’accéder aux données utilisateur
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2022-26694 : Wojciech Reguła (@_r3ggi) de SecuRing
CVMS
Disponible pour : macOS Monterey
Impact : Une application malveillante peut obtenir les privilèges root
Description : un problème d’initialisation de la mémoire a été résolu.
CVE-2022-26721 : Yonghwi Jin (@jinmo123) de Theori
CVE-2022-26722 : Yonghwi Jin (@jinmo123) de Theori
Kit de pilotes
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges système
Description : un problème d’accès hors limites a été résolu grâce à une vérification améliorée des limites.
CVE-2022-26763 : Linus Henze de Pinauten GmbH (pinauten.de)
ImageIO
Disponible pour : macOS Monterey
Impact : un attaquant distant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.
Description : un problème de dépassement d’entier a été résolu avec une validation d’entrée améliorée.
CVE-2022-26711 : action du Blacksun Hackers Club travaillant avec Trend Micro Zero Day Initiative
ImageIO
Disponible pour : macOS Monterey
Impact : les informations sur l’emplacement de la photo peuvent persister après leur suppression avec l’inspecteur d’aperçu.
Description : un problème de logique a été résolu par une gestion améliorée de l’état.
CVE-2022-26725 : Andrew Williams et Avi Drissman de Google
Pilote graphique Intel
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème d’écriture hors limites a été résolu grâce à une vérification améliorée des limites.
CVE-2022-26720 : Liu Long du laboratoire Ant Security Light-Year
Pilote graphique Intel
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de mémoire a été résolu avec une validation d’entrée améliorée.
CVE-2022-26769 : Antonio Zekic (@antoniozekic)
Pilote graphique Intel
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de lecture hors limites a été résolu par une validation améliorée des entrées.
CVE-2022-26770 : Liu Long du laboratoire Ant Security Light-Year
Pilote graphique Intel
Disponible pour : macOS Monterey
Impact : le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code arbitraire.
Description : un problème d’écriture hors limites a été résolu avec une validation d’entrée améliorée.
CVE-2022-26748 : Jeonghoon Shin de Theori travaille avec Trend Micro Zero Day Initiative
Pilote graphique Intel
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème d’écriture hors limites a été résolu avec une validation d’entrée améliorée.
CVE-2022-26756 : Dates de Jack de RET2 Systems, Inc
IOKit
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : une condition de concurrence critique a été résolue avec un verrouillage amélioré.
CVE-2022-26701 : chenyuwang (@mzzzz__) du laboratoire Tencent Security Xuanwu
IOMobileFrameBuffer
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
CVE-2022-26768 : un chercheur anonyme
Noyau
Disponible pour : macOS Monterey
Impact : un attaquant ayant déjà exécuté du code dans macOS Recovery peut être en mesure d’accéder aux privilèges du noyau.
Description : un problème d’écriture hors limites a été résolu grâce à une vérification améliorée des limites.
CVE-2022-26743 : Jordy Zomer (@pwningsystems)
Noyau
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de mémoire a été résolu avec une validation améliorée.
CVE-2022-26714 : Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)
Noyau
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème d’utilisation après utilisation gratuite a été résolu avec une gestion améliorée de la mémoire.
CVE-2022-26757 : Ned Williamson de Google Project Zero
Noyau
Disponible pour : macOS Monterey
Impact : un attaquant ayant déjà réussi à exécuter le code du noyau peut être en mesure de contourner les atténuations de la mémoire du noyau.
Description : un problème de corruption de mémoire a été résolu avec une validation améliorée.
CVE-2022-26764 : Linus Henze de Pinauten GmbH (pinauten.de)
Noyau
Disponible pour : macOS Monterey
Impact : un attaquant malveillant doté de capacités de lecture et d’écriture arbitraires peut être en mesure de contourner l’authentification du pointeur.
Description : une condition de concurrence critique a été résolue par une gestion améliorée des états.
CVE-2022-26765 : Linus Henze de Pinauten GmbH (pinauten.de)
Services de lancement
Disponible pour : macOS Monterey
Impact : un processus en bac à sable peut être en mesure de contourner les restrictions du bac à sable
Description : un problème d’accès a été résolu avec des restrictions supplémentaires du bac à sable sur les applications tierces.
CVE-2022-26706 : Arsenii Kostromin (0x3c3e)
Services de lancement
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être capable de contourner les préférences de confidentialité
Description : le problème a été résolu par des vérifications d’autorisations supplémentaires.
CVE-2022-26767 : Wojciech Reguła (@_r3ggi) de SecuRing
libresolv
Disponible pour : macOS Monterey
Impact : un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2022-26776 : Zubair Ashraf de Crowdstrike, Max Shavrick (@_mxms) de l’équipe de sécurité de Google
CVE-2022-26708 : Max Shavrick (@_mxms) de l’équipe de sécurité de Google
libresolv
Disponible pour : macOS Monterey
Impact : un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.
Description : un dépassement d’entier a été résolu avec une validation d’entrée améliorée.
CVE-2022-26775 : Max Shavrick (@_mxms) de l’équipe de sécurité de Google
LibreSSL
Disponible pour : macOS Monterey
Impact : Le traitement d’un certificat conçu de manière malveillante peut entraîner un déni de service
Description : un problème de déni de service a été résolu avec une validation améliorée des entrées.
CVE-2022-0778
libxml2
Disponible pour : macOS Monterey
Impact : un attaquant distant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.
Description : un problème d’utilisation après utilisation gratuite a été résolu avec une gestion améliorée de la mémoire.
CVE-2022-23308
OuvertSSL
Disponible pour : macOS Monterey
Impact : Le traitement d’un certificat conçu de manière malveillante peut entraîner un déni de service
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2022-0778
PackageKit
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être capable de modifier les parties protégées du système de fichiers
Description : ce problème a été résolu en supprimant le code vulnérable.
CVE-2022-26712 : Mickey Jin (@patch1t)
PackageKit
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être capable de modifier les parties protégées du système de fichiers
Description : ce problème a été résolu avec des droits améliorés.
CVE-2022-26727 : Mickey Jin (@patch1t)
Aperçu
Disponible pour : macOS Monterey
Impact : Un plug-in peut être capable d’hériter des autorisations de l’application et d’accéder aux données utilisateur
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2022-26693 : Wojciech Reguła (@_r3ggi) de SecuRing
Impression
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être en mesure de contourner les préférences de confidentialité
Description : ce problème a été résolu en supprimant le code vulnérable.
CVE-2022-26746 : @gorelics
Navigation privée Safari
Disponible pour : macOS Monterey
Impact : un site Web malveillant peut être capable de suivre les utilisateurs en mode de navigation privée de Safari
Description : un problème de logique a été résolu grâce à une gestion améliorée de l’état.
CVE-2022-26731 : un chercheur anonyme
Sécurité
Disponible pour : macOS Monterey
Impact : une application malveillante peut être capable de contourner la validation de signature
Description : un problème d’analyse des certificats a été résolu par des vérifications améliorées.
CVE-2022-26766 : Linus Henze de Pinauten GmbH (pinauten.de)
PME
Disponible pour : macOS Monterey
Impact : une application peut obtenir des privilèges élevés
Description : un problème d’écriture hors limites a été résolu grâce à une vérification améliorée des limites.
CVE-2022-26715 : Peter Nguyễn Vũ Hoàng de STAR Labs
PME
Disponible pour : macOS Monterey
Impact : une application peut obtenir des privilèges élevés
Description : un problème de lecture hors limites a été résolu par une validation améliorée des entrées.
CVE-2022-26718 : Peter Nguyễn Vũ Hoàng de STAR Labs
PME
Disponible pour : macOS Monterey
Impact : Le montage d’un partage réseau Samba conçu de manière malveillante peut conduire à l’exécution de code arbitraire.
Description : un problème de corruption de mémoire a été résolu avec une validation d’entrée améliorée.
CVE-2022-26723 : Félix Poulin-Bélanger
Mise à jour du logiciel
Disponible pour : macOS Monterey
Impact : Une application malveillante peut accéder à des fichiers restreints
Description : ce problème a été résolu avec des droits améliorés.
CVE-2022-26728 : Mickey Jin (@patch1t)
Mettre en lumière
Disponible pour : macOS Monterey
Impact : une application peut obtenir des privilèges élevés
Description : un problème de validation existait dans la gestion des liens symboliques et a été résolu par une validation améliorée des liens symboliques.
CVE-2022-26704 : un chercheur anonyme
CTC
Disponible pour : macOS Monterey
Impact : une application peut être capable de capturer l’écran d’un utilisateur
Description : ce problème a été résolu par des vérifications améliorées.
CVE-2022-26726 : un chercheur anonyme
Tcl
Disponible pour : macOS Monterey
Impact : une application malveillante peut être capable de sortir de son bac à sable
Description : ce problème a été résolu par une meilleure désinfection de l’environnement.
CVE-2022-26755 : Arsénii Kostromine (0x3c3e)
Kit Web
Disponible pour : macOS Monterey
Impact : le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
WebKit Bugzilla : 238178
CVE-2022-26700 : Ryuzaki
Kit Web
Disponible pour : macOS Monterey
Impact : le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code arbitraire.
Description : un problème d’utilisation après utilisation gratuite a été résolu avec une gestion améliorée de la mémoire.
WebKit Bugzilla : 236950
CVE-2022-26709 : Chijin Zhou de ShuiMuYuLin Ltd et le laboratoire Tsinghua wingtecher
WebKit Bugzilla : 237475
CVE-2022-26710 : Chijin Zhou de ShuiMuYuLin Ltd et le laboratoire Tsinghua wingtecher
WebKit Bugzilla : 238171
CVE-2022-26717 : Jeonghoon Shin de Theori
Kit Web
Disponible pour : macOS Monterey
Impact : le traitement de contenu Web conçu de manière malveillante peut conduire à l’exécution de code arbitraire.
Description : un problème de corruption de mémoire a été résolu par une gestion améliorée de l’état.
WebKit Bugzilla : 238183
CVE-2022-26716 : SorryMybad (@S0rryMybad) de Kunlun Lab
WebKit Bugzilla : 238699
CVE-2022-26719 : Dongzhuo Zhao travaille avec ADLab de Venustech
WebRTC
Disponible pour : macOS Monterey
Impact : l’auto-aperçu vidéo dans un appel webRTC peut être interrompu si l’utilisateur répond à un appel téléphonique
Description : un problème de logique dans la gestion des médias simultanés a été résolu par une gestion améliorée des états.
WebKit Bugzilla : 237524
CVE-2022-22677 : un chercheur anonyme
Wi-Fi
Disponible pour : macOS Monterey
Impact : une application malveillante peut divulguer une mémoire restreinte
Description : un problème de corruption de mémoire a été résolu avec une validation améliorée.
CVE-2022-26745 : un chercheur anonyme
Wi-Fi
Disponible pour : macOS Monterey
Impact : Une application peut être capable d’exécuter du code arbitraire avec les privilèges du noyau
Description : un problème de corruption de la mémoire a été résolu par une gestion améliorée de la mémoire.
CVE-2022-26761 : Wang Yu de Cyberserval
Wi-Fi
Disponible pour : macOS Monterey
Impact : Une application malveillante peut être capable d’exécuter du code arbitraire avec les privilèges système
Description : un problème de corruption de la mémoire a été résolu par une gestion améliorée de la mémoire.
CVE-2022-26762 : Wang Yu de Cyberserval
fermeture éclair
Disponible pour : macOS Monterey
Impact : Le traitement d’un fichier malveillant peut entraîner un déni de service.
Description : un problème de déni de service a été résolu par une gestion améliorée de l’état.
CVE-2022-0530
zlib
Disponible pour : macOS Monterey
Impact : un attaquant peut provoquer l’arrêt inattendu d’une application ou l’exécution de code arbitraire.
Description : un problème de corruption de mémoire a été résolu avec une validation d’entrée améliorée.
CVE-2018-25032 : Tavis Ormandy
zsh
Disponible pour : macOS Monterey
Impact : un attaquant distant peut provoquer l’exécution de code arbitraire
Description : ce problème a été résolu par la mise à jour vers la version 5.8.1 de zsh.
CVE-2021-45444
![](https://i0.wp.com/high-phone.info/wp-content/uploads/2024/11/Apple-corrige-des-dizaines-de-failles-de-securite-avec-iOS.png?w=900&ssl=1)
Reconnaissance supplémentaire
AppleMobileFileIntegrity
Nous tenons à remercier Wojciech Reguła (@_r3ggi) de SecuRing pour son aide.
Bluetooth
Nous tenons à remercier Jann Horn de Project Zero pour son aide.
Calendrier
Nous tenons à remercier Eugene Lim de la Government Technology Agency de Singapour pour son aide.
FaceTime
Nous tenons à remercier Wojciech Reguła (@_r3ggi) de SecuRing pour son aide.
Coffre-fort de fichiers
Nous tenons à remercier Benjamin Adolphi de Promon Germany GmbH pour son aide.
Fenêtre de connexion
Nous tenons à remercier Csaba Fitzl (@theevilbit) d’Offensive Security pour son aide.
Photomaton
Nous tenons à remercier Wojciech Reguła (@_r3ggi) de SecuRing pour son aide.
Préférences Système
Nous tenons à remercier Mohammad Tausif Siddiqui (@toshsiddiqui), un chercheur anonyme pour son aide.
Kit Web
Nous tenons à remercier James Lee, un chercheur anonyme pour son aide.
Wi-Fi
Nous tenons à remercier Dana Morrison pour son aide.
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.