Vulnérabilité dangereuse dans WebKit : mettez à jour iOS

Il semblerait qu’une vulnérabilité dangereuse dans WebKit (CVE-2022-22620) soit activement exploitée par les cybercriminels. Mettez à jour vos dispositifs iOS dès que possible !

Apple a publié une mise à jour urgente pour iOS et iPadOS qui corrige la vulnérabilité CVE-2022-22620. L’entreprise recommande de mettre à jour les dispositifs dès que possible puisqu’elle a des raisons de croire que cette faille est déjà activement exploitée par des acteurs inconnus.

Pourquoi la vulnérabilité CVE-2022-22620 est dangereuse

Comme d’habitude, les experts d’Apple ne communiquent pas les détails de la vulnérabilité jusqu’à ce que l’enquête soit terminée, et la majorité des utilisateurs a déjà installé les correctifs. Pour le moment, les experts ont seulement expliqué que cette vulnérabilité appartient à la catégorie « use-after-free » (UAF), et qu’elle est donc liée à une utilisation incorrecte de la mémoire dynamique des applications. Une fois exploitée, elle permet aux cybercriminels de créer un contenu Web malveillant dont le processus peut entraîner l’exécution d’un code arbitraire sur l’appareil de la victime.

En d’autres termes, le scénario d’attaque le plus probable est que l’iPhone ou l’iPad soit infecté après que l’utilisateur a consulté un site malveillant.

Les dispositifs et applications vulnérables à CVE-2022-22620

À en juger par la description du bug, la vulnérabilité a été découverte dans le moteur WebKit utilisé par diverses applications sous macOS, iOS et Linux. Ainsi, tous les navigateurs d’iOS et iPadOS reposent sur ce moteur open source, et c’est pourquoi le navigateur par défaut d’Apple, Safari, n’est pas le seul concerné. Cette faille affecte aussi Google Chrome, Mozilla Firefox et bien d’autres. Par conséquent, cette vulnérabilité vous concerne directement même si vous n’utilisez pas Safari.

Apple a publié des mises à jour pour les modèles iPhone 6s et ultérieurs, pour tous les modèles iPad Pro, iPad Air version 2 et autres plus récents, pour iPad à partir de la 5ème génération, pour iPad Mini à partir de la 4ème génération et pour iPod Touch à partir de la 7ème génération.

Comment vous protéger

Les correctifs publiés par Apple le 10 février modifient les mécanismes de gestion de la mémoire et empêchent donc l’exploitation de la vulnérabilité CVE-2022-22620. Pour protéger votre appareil, il vous suffit d’installer les mises à jour iOS 15.3.1 et iPadOS 15.3.1. Votre dispositif doit être connecté à un réseau Wi-Fi pour installer le patch.

Si votre appareil n’affiche pas encore la notification qui vous avertit qu’une nouvelle mise à jour est disponible, vous pouvez forcer votre système à l’installer un peu plus rapidement. Ouvrez les réglages (Réglages → Général → Mise à jour logicielle) et vérifiez si une mise à jour est disponible.

Afin de recevoir directement des alertes sur les dernières menaces informatiques qui affectent vos dispositifs et applications, nous vous conseillons d’utiliser Kaspersky Security Cloud, un programme disponible pour les systèmes d’exploitation Windows, macOS, Android et iOS. De plus, vous recevez une notification vous donnant quelques conseils lorsqu’une nouvelle vulnérabilité concerne le système que vous utilisez, ou que le site que vous avez consulté a été victime d’une fuite de données.

Conseils