Juillet a été un mois de mises à jour importantes, y compris des correctifs pour les vulnérabilités déjà exploitées dans les produits Microsoft et Google. Ce mois-ci a également vu la première mise à jour Apple iOS en huit semaines, corrigeant des dizaines de failles de sécurité dans les iPhones et iPads.
Les vulnérabilités de sécurité continuent également de toucher les produits d’entreprise, avec les correctifs de juillet publiés pour les logiciels SAP, Cisco et Oracle. Voici ce que vous devez savoir sur les vulnérabilités corrigées en juillet.
AppleiOS 15.6
Apple a publié iOS et iPadOS 15.6 pour corriger 37 failles de sécurité, y compris un problème dans Apple File System (APFS) suivi comme CVE-2022-32832. Si elle est exploitée, la vulnérabilité pourrait permettre à une application d’exécuter du code avec les privilèges du noyau, selon la page d’assistance d’Apple, lui donnant un accès approfondi à votre appareil.
D’autres correctifs iOS 15.6 corrigent des vulnérabilités dans le noyau et le moteur de navigateur WebKit, ainsi que des failles dans IOMobileFrameBuffer, Audio, iCloud Photo Library, ImageIO, Apple Neural Engine et les pilotes GPU.
Apple n’a connaissance d’aucune des failles corrigées utilisées dans les attaques, mais certaines des vulnérabilités sont assez graves, en particulier celles qui affectent le noyau au cœur du système d’exploitation. Il est également possible que les vulnérabilités soient enchaînées lors d’attaques, alors assurez-vous de mettre à jour dès que possible.
Les correctifs iOS 15.6 ont été publiés aux côtés de watchOS 8.7, tvOS 15.6, macOS Monterey 12.5, macOS Big Sur 11.6.8 et macOS Catalina 10.15.7 2022-005.
Google Chrome
Google a publié un correctif d’urgence pour son navigateur Chrome en juillet, corrigeant quatre problèmes, dont une faille zero-day qui a déjà été exploitée. Suivie sous le nom de CVE-2022-2294 et signalée par les chercheurs d’Avast Threat Intelligence, la vulnérabilité de corruption de mémoire dans WebRTC a été exploitée pour obtenir l’exécution de shellcode dans le processus de rendu de Chrome.
La faille a été utilisée dans des attaques ciblées contre les utilisateurs d’Avast au Moyen-Orient, y compris des journalistes au Liban, pour diffuser un logiciel espion appelé DevilsTongue.
Sur la base des logiciels malveillants et des tactiques utilisées pour mener à bien l’attaque, Avast attribue l’utilisation du jour zéro de Chrome à Candiru, une société basée en Israël qui vend des logiciels espions aux gouvernements.
Patch Tuesday de Microsoft
Le Patch Tuesday de Microsoft en juillet est important, corrigeant 84 problèmes de sécurité, y compris une faille déjà utilisée dans des attaques réelles. La vulnérabilité, CVE-2022-22047, est une faille d’élévation de privilèges locale dans le serveur Windows Client/Server Runtime Subsystem (CSRSS) et les plates-formes Windows clientes, y compris les dernières versions de Windows 11 et Windows Server 2022. Un attaquant capable d’exploiter avec succès la vulnérabilité pourrait obtenir des privilèges système, selon Microsoft.
Sur les 84 problèmes corrigés dans le correctif de juillet de Microsoft, 52 étaient des failles d’escalade de privilèges, quatre étaient des vulnérabilités de contournement des fonctionnalités de sécurité et 12 étaient des problèmes d’exécution de code à distance.
Les correctifs de sécurité Microsoft causent parfois d’autres problèmes, et la mise à jour de juillet n’était pas différente : après la publication, certains utilisateurs ont constaté que les applications d’exécution MS Access ne s’ouvraient pas. Heureusement, l’entreprise déploie un correctif.
Bulletin de sécurité Android de juillet
Google a publié des mises à jour de juillet pour son système d’exploitation Android, y compris un correctif pour une vulnérabilité de sécurité critique dans le composant système qui pourrait conduire à l’exécution de code à distance sans privilèges supplémentaires nécessaires.
Google a également corrigé de graves problèmes dans le noyau, qui pouvaient entraîner la divulgation d’informations, et dans le cadre, ce qui pouvait entraîner une élévation locale des privilèges. Pendant ce temps, des correctifs spécifiques au fournisseur de MediaTek, Qualcomm et Unisoc sont disponibles si votre appareil utilise ces puces. Les appareils Samsung commencent à recevoir le patch de juillet et Google a également publié des mises à jour pour sa gamme Pixel.
SÈVE
Le fabricant de logiciels SAP a publié 27 notes de sécurité nouvelles et mises à jour dans le cadre de son Security Patch Day de juillet, corrigeant plusieurs vulnérabilités très graves. Suivi sous le numéro CVE-2022-35228, le problème le plus grave est une faille de divulgation d’informations dans la console de gestion centrale de la plate-forme Business Objects du fournisseur.
La vulnérabilité permet à un attaquant non authentifié d’obtenir des informations de jeton sur le réseau, selon la société de sécurité Onapsis. “Heureusement, une attaque comme celle-ci nécessiterait qu’un utilisateur légitime accède à l’application”, ajoute la firme. Cependant, il est toujours important de patcher dès que possible.
Oracle
Oracle a publié 349 correctifs dans sa mise à jour critique de juillet 2022, y compris des correctifs pour 230 failles pouvant être exploitées à distance.
La mise à jour du correctif d’avril d’Oracle comprenait 520 correctifs de sécurité, dont certains concernaient CVE-2022-22965, alias Spring4Shell, une faille d’exécution de code à distance dans le framework Spring. La mise à jour de juillet d’Oracle continue de résoudre ce problème.
