Apple diffuse une nouvelle série de mises à jour pour ces systèmes d'exploitation. Cela comprend iOS 15.3.1, iPadOS 15.3.1 et macOS 12.2.1 avec pour point commun la correction d'une vulnérabilité de sécurité.
Signalée par un chercheur en sécurité qui conserve l'anonymat, la vulnérabilité en question est référencée CVE-2022-22620. Elle affecte le moteur de rendu WebKit qui est notamment utilisé par le navigateur Safari.
Apple décrit un bug User After Free qui peut donc faire référence à un problème de réinitialisation d'un pointeur après la libération de la mémoire. L'impact est la possibilité d'une exécution de code arbitraire lors du traitement d'une page web malveillante spécialement conçue.
Une faille 0day
Peu de détails sont fournis pour le moment, mais un point sensible est qu'il y a des exploitations actives dans des attaques. Cela était le cas avant la mise à disposition du correctif, d'où un caractère de vulnérabilité 0day.
A priori, ces attaques sont très ciblées, mais il est évidemment recommandé de ne pas tarder dans l'application de la mise à jour. En soulignant par ailleurs que WebKit est un passage obligé pour le rendu des pages web sur les appareils mobiles d'Apple. Les anciennes versions de macOS bénéficient d'une mise à jour idoine de Safari.
Hormis l'aspect sécurité, des corrections de bugs sont également évoquées pour l'Apple Watch avec watchOS 8.4.2. Pour des ordinateurs Mac équipés d'un processeur Intel, macOS 12.2.1 corrige un problème pouvant vider la batterie pendant la mise en veille et avec des périphériques Bluetooth connectés.
