Certains articles de veille peuvent faire l'objet de traduction automatique.
Novembre a vu le publication de correctifs comme iOS d’Apple, Google Chrome, Firefox et Microsoft Windows pour corriger plusieurs vulnérabilités de sécurité. Certains de ces problèmes sont assez graves, et plusieurs ont déjà été exploités par des attaquants.
Voici ce que vous devez savoir sur toutes les mises à jour importantes publiées au cours du mois dernier.
Apple iOS et iPadOS 16.1.1
Apple a publié iOS et iPadOS 16.1.1, que le fabricant d’iPhone recommande à tous les utilisateurs d’appliquer. Le correctif corrige deux vulnérabilités de sécurité et, compte tenu de la rapidité de la publication, vous pouvez supposer qu’elles sont assez graves.
Suivi comme CVE-2022-40303 et CVE-2022-40304les deux failles de la bibliothèque logicielle libxml2 pourraient permettre à un attaquant d’exécuter du code à distance, selon Apple page d’assistance. Les problèmes ont tous deux été signalés par des chercheurs en sécurité travaillant pour Project Zero de Google.
Pour les utilisateurs de Mac, les failles ont été corrigées par macOS Ventura 13.0.1.
La bonne nouvelle est que l’on pense qu’aucune vulnérabilité n’a été exploitée par des attaquants, mais c’est toujours une bonne idée d’appliquer la mise à jour dès que possible.
Microsoft Windows
Microsoft Patch de novembre mardi était une autre grande version, voyant le fabricant Windows corriger 68 vulnérabilités, dont quatre étaient zéro jours.
Suivi comme CVE-2022-41073, la première est une vulnérabilité d’élévation des privilèges du spouleur d’impression Windows qui pourrait permettre à un cybercriminel d’obtenir des privilèges système. Pendant ce temps, CVE-2022-41125 est un problème d’isolation de clé Windows Cryptographic Next Generation qui pourrait permettre à un adversaire d’élever ses privilèges et de prendre le contrôle du système. CVE-2022-41128 est une vulnérabilité du langage de script Windows qui pourrait entraîner l’exécution de code à distance. Dernièrement, CVE-2022-41091 est une vulnérabilité de la fonction de sécurité Mark of the Web de Microsoft.
Google Androïd
D’autres mises à jour importantes pour les utilisateurs des appareils Android de Google sont arrivées en novembre, avec Google émission de correctifs pour de multiples vulnérabilités, dont certaines sont graves. En haut de la liste se trouve une vulnérabilité de haute gravité dans le composant Framework qui pourrait conduire à une escalade locale des privilèges, a déclaré Google dans un avis de sécurité.
Les correctifs de novembre incluent deux mises à jour du système Google Play pour les problèmes affectant les composants Media Framework (CVE-2022-2209) et le WiFi (CVE-2022-20463). Google aussi fixé cinq problèmes affectant ses appareils Pixel.
Les mises à jour Android ont commencé à être déployées sur les appareils Samsung, y compris les pliables Galaxy de troisième et quatrième génération. Vous pouvez vérifier la mise à jour dans vos paramètres.
Google Chrome
Le navigateur le plus populaire au monde continue d’être un cible majeure pour les attaquants, Google corrigeant ce mois-ci son huitième vulnérabilité zero-day cette année.
La vulnérabilité, suivie comme CVE-2022-4135, est un débordement de mémoire tampon dans le GPU signalé par Clément Lecigne, chercheur au sein du propre groupe d’analyse des menaces de Google. Google a dit il « est conscient qu’un exploit pour CVE-2022-4135 existe dans la nature ».
Plus tôt dans le mois, Google publié une mise à jour pour corriger 10 vulnérabilités de Chrome, dont six sont classées comme très graves. Ceux-ci incluent quatre bogues d’utilisation après libération : CVE-2022-3885, CVE-2022-3886, CVE-2022-3887 et CVE-2022-3888. Pendant ce temps, CVE-2022-3889 est un problème de « confusion de type » dans V8, et CVE-2022-3890 est un débordement de mémoire tampon dans Crashpad.
MozillaFirefox
Novembre a également été un grand mois pour Firefox, le concurrent de Google Chrome. Mozilla a publié Firefox 107, corrigeant 19 vulnérabilités de sécurité, dont huit sont marquées comme ayant un impact élevé.
L’un des patchs les plus importants est pour CVE-2022-45404, un contournement de notification plein écran qui pourrait permettre à un attaquant de faire passer une fenêtre en plein écran sans que l’utilisateur ne voie l’invite de notification. Cela pourrait entraîner des attaques par usurpation d’identité. Pendant ce temps, plusieurs bogues d’utilisation après libération pourraient conduire à un plantage exploitable, et une faille pourrait être exploitée pour exécuter du code arbitraire.
VMWare
Le fabricant de logiciels VMWare a publié des correctifs de sécurité pour plusieurs vulnérabilités de sécurité dans son VMware Workspace ONE Assist, dont trois ont un score de base CVSSv3 de 9,8. La première, CVE-2022-31685, est une vulnérabilité de contournement d’authentification. « Un acteur malveillant disposant d’un accès réseau à Workspace ONE Assist peut être en mesure d’obtenir un accès administratif sans avoir à s’authentifier auprès de l’application », a averti VMWare dans un communiqué. consultatif.
Une vulnérabilité de méthode d’authentification cassée identifiée comme CVE-2022-31686 pourrait permettre à un acteur malveillant disposant d’un accès réseau d’obtenir un accès administrateur sans avoir besoin de s’authentifier.
Poster un commentaire