L’équipe indienne d’intervention d’urgence informatique ou CERT-In, nommée par le ministère de l’électronique et des technologies de l’information, a découvert plusieurs vulnérabilités très graves dans iOS, iPadOS et macOS. De plus, ils ont également trouvé des vulnérabilités dans ChromeOS de Google et dans le navigateur Firefox de Mozilla. Selon l’agence, ces vulnérabilités peuvent être utilisées pour contourner les restrictions de sécurité et provoquer des attaques DoS ou par déni de service sur les utilisateurs, rendant leurs appareils inutilisables.
Les machines exécutant macOS Catalina avec un correctif de sécurité antérieur à 2022-005, les versions de macOS Big Sur antérieures à 11.6.8 et les versions de macOS Monterey antérieures à 12.5 sont à risque. Ces vulnérabilités présentes dans macOS ainsi que iOS et iPadOS peuvent être exploitées à distance par des attaquants ; il leur suffit de persuader les victimes de visiter un site Web malveillant. L’attaquant peut alors exécuter un code arbitraire qui contournerait les restrictions de sécurité et provoquerait l’attaque DoS sur l’appareil.
Les vulnérabilités de macOS existent en raison de la lecture hors limites dans AppleScript, SMB et Kernel, de l’écriture hors limites dans Audio, ICU, PS Normalizer, GU Drivers, SMB et WebKit. En plus de cela, des problèmes d’autorisation ont été trouvés dans AppleMobileFileIntegrity ; divulgation d’informations dans le calendrier et la photothèque iCloud.
Des vulnérabilités similaires ont également été trouvées dans les versions iPadOS et iOS antérieures à 15.6.
Comme pour Mozilla Firefox, les versions antérieures à 103, les versions ESR antérieures à 102.1 et 91.12 présentent des failles de sécurité. Ces failles existent en raison de bogues de sécurité de la mémoire présents dans le moteur du navigateur, du cache de préchargement qui contourne l’intégrité des sous-ressources et de la fuite d’informations de redirection des ressources intersites lors de l’utilisation de l’API Performance, pour n’en nommer que quelques-uns. En utilisant ces failles, les attaquants peuvent accéder à des informations sensibles sur les machines ciblées.
Google ChromeOS souffre de vulnérabilités similaires à Firefox. Ils existent dans les versions de canal Google ChromeOS LTS antérieures à 96.0.4664.215 en raison d’une lecture hors limites dans le composant de composition, d’une implémentation incorrecte dans l’API d’extension et d’une erreur d’utilisation après libération dans le composant Blink XSLT, pour n’en nommer que quelques-uns.
Selon CERT-In, ces vulnérabilités peuvent être corrigées en installant des mises à jour logicielles, et les utilisateurs de ces systèmes d’exploitation et navigateurs doivent installer les dernières mises à jour de sécurité dès qu’ils le peuvent.
