La grande nouvelle dans le monde de l’iPhone aujourd’hui est le lancement d’iOS 16.2, mais les utilisateurs de téléphones plus anciens ont également une raison importante de mettre à jour. Apple a publié iOS 15.7.2 et iPadOS 15.7.2 pour les appareils qui ne sont pas sur iOS 16, notamment l’iPhone 6s et 7, l’iPad mini 4 et l’iPad Air 2. Il est également disponible pour les iPhones plus récents qui n’ont pas fait le passez à iOS 16 pour le moment.
Pour mettre à jour votre iPhone, rendez-vous sur l’application Paramètres et appuyez sur Généralalors Mise à jour logicielle. Appuyez ensuite sur Télécharger et installer et suivez les instructions.
La mise à jour n’inclut aucune nouvelle fonctionnalité, mais elle contient des correctifs de bogues et de nombreuses mises à jour de sécurité importantes, dont plusieurs permettent l’exécution de code arbitraire et dont au moins une peut avoir été activement exploitée. Les notes de publication d’Apple indiquent simplement : « Cette mise à jour fournit des correctifs de sécurité importants et est recommandée pour tous les utilisateurs ». Voici les mises à jour de sécurité publiées pour cette version :
AppleAVD
- Impact: L’analyse d’un fichier vidéo construit de manière malveillante peut entraîner l’exécution de code du noyau
- La description: Un problème d’écriture hors limites a été résolu avec une meilleure validation des entrées.
- CVE-2022-46694 : Andrey Labunets et Nikita Tarakanov
AVEVideoEncoder
- Impact: Une application peut être en mesure d’exécuter du code arbitraire avec les privilèges du noyau
- La description: Un problème de logique a été résolu avec des vérifications améliorées.
- CVE-2022-42848 : ABC Research sro
Système de fichiers
- Impact: Une application peut être capable de sortir de son bac à sable
- La description: Ce problème a été résolu par des vérifications améliorées.
- CVE-2022-42861 : pattern-f (@pattern_F_) de Ant Security Light-Year Lab
Pilote graphique
- Impact: L’analyse d’un fichier vidéo conçu de manière malveillante peut entraîner l’arrêt inattendu du système
- La description: Le problème a été résolu par une meilleure gestion de la mémoire.
- CVE-2022-42846 : Willy R. Vasquez de l’Université du Texas à Austin
IOIIDFamille
- Impact: Une application peut être en mesure d’exécuter du code arbitraire avec les privilèges du noyau
- La description: Une condition de concurrence a été résolue avec une gestion améliorée de l’état.
- CVE-2022-42864 : Tommy Muir (@Muirey03)
Magasin itunes
- Impact: Un utilisateur distant peut être en mesure de provoquer la fermeture inattendue d’une application ou l’exécution de code arbitraire
- La description: Un problème existait dans l’analyse des URL. Ce problème a été résolu par une meilleure validation des entrées.
- CVE-2022-42837 : Weijia Dai (@dwj1210) de Momo Security
Noyau
- Impact: Une application peut être en mesure d’exécuter du code arbitraire avec les privilèges du noyau
- La description: Une condition de concurrence a été traitée avec une validation supplémentaire.
- CVE-2022-46689 : Ian Beer de Google Project Zero
libxml2
- Impact: Un utilisateur distant peut être en mesure de provoquer la fermeture inattendue d’une application ou l’exécution de code arbitraire
- La description: Un débordement d’entier a été résolu par une meilleure validation des entrées.
- CVE-2022-40303 : Maddie Stone de Google Project Zero
libxml2
- Impact: Un utilisateur distant peut être en mesure de provoquer la fermeture inattendue d’une application ou l’exécution de code arbitraire
- La description: Ce problème a été résolu par des vérifications améliorées.
- CVE-2022-40304 : Ned Williamson et Nathan Wachholz de Google Project Zero
PPP
- Impact: Une application peut être en mesure d’exécuter du code arbitraire avec les privilèges du noyau
- La description: Le problème a été résolu par une meilleure gestion de la mémoire.
- CVE-2022-42840 : un chercheur anonyme
Préférences
- Impact: Une application peut être en mesure d’utiliser des droits arbitraires
- La description: Un problème de logique a été résolu avec une meilleure gestion de l’état.
- CVE-2022-42855 : Ivan Fratric de Google Project Zero
Safari
- Impact: La visite d’un site Web qui encadre du contenu malveillant peut entraîner une usurpation d’interface utilisateur
- La description: Un problème d’usurpation existait dans la gestion des URL. Ce problème a été résolu par une meilleure validation des entrées.
- CVE-2022-46695 : Kirti Kumar Anandrao Ramchandani
Kit Web
- Impact: Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- La description: Un problème de consommation de mémoire a été résolu par une meilleure gestion de la mémoire.
- CVE-2022-46691 : un chercheur anonyme
Kit Web
- Impact: Le traitement de contenu Web conçu de manière malveillante peut entraîner la divulgation de la mémoire de processus
- La description: Le problème a été résolu par une meilleure gestion de la mémoire.
- CVE-2022-42852 : hazbinhotel travaille avec Trend Micro Zero Day Initiative
Kit Web
- Impact: Le traitement de contenu Web conçu de manière malveillante peut contourner la politique d’origine identique
- La description: Un problème de logique a été résolu avec une meilleure gestion de l’état.
- CVE-2022-46692 : Kirti Kumar Anandrao Ramchandani
Kit Web
- Impact: Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire
- La description: Un problème de corruption de la mémoire a été résolu avec une meilleure validation des entrées.
- CVE-2022-46700 : Samuel Groß de Google V8 Security
Kit Web
- Impact: Le traitement de contenu Web conçu de manière malveillante peut entraîner l’exécution de code arbitraire. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité sur des versions d’iOS publiées avant iOS 15.1.
- La description: Un problème de confusion de type a été résolu par une meilleure gestion de l’état.
- CVE-2022-42856 : Clément Lecigne du groupe d’analyse des menaces de Google
