iOS

iOS 15.5 se déploie, quoi de neuf pour l’iPhone ?

De manière discrète Apple déploie une mise à jour pour iOS. Son installation permet au système d’exploitation mobile d’évoluer en version 15.5.

En cours de déploiement la mise à jour iOS 15.5 corrige des bugs et colmate plusieurs failles de sécurité. Il s’agit d’une maintenance avec toutefois une petite nouveauté. Elle vise Podcasts. Un nouveau réglage permet de limiter le nombre d’épisodes stockés sur l’iPhone et de supprimer automatiquement les épisodes plus anciens.

Comme nous l’annoncions il s’agit d’une maintenance avec à la clé des correctifs. L’un d’eux résout un problème entraînant l’échec des automatisations du domicile déclenchées au départ ou à l’arrivée des personnes.

Sur la question de la sécurité, Apple colmate de nombreuses failles. Vous trouverez tous les détails en fin d’article. Elles concernent

  • Le Wi-Fi,
  • WebRTC,
  • WebKit,
  • Shortcuts,
  • Security,
  • Safari,
  • Notes,
  • Libxml2,
  • LauchServices,
  • Kernel,
  • IOSurfaceAccelerator,
  • IOMobileFrameBuffer,
  • IOKit,
  • ImageIO,
  • GPU Drivers,
  • DriverKit,
  • AVEVideoEncoder,
  • AppleGraphicsControl,
  • AppleAVD

iPhone, comment mettre à jour iOS ?

iOS 15.5 d’Apple

La mise à jour de l’iPhone n’est pas compliquée. Normalement l’icone Réglages alerte de la présence d’une ou plusieurs mises à jour. Il faut alors se rendre à l’adresse suivante

Réglage > Général > Mise à jour logicielle

Normalement une recherche automatique de nouvelle mise à jour se lance et iOS 15.5 doit apparaitre.

iOS 15.5 est proposé aux appareils

  • iPhone 6s et modèles ultérieurs,
  • iPad Pro (tous les modèles),
  • iPad Air 2 et modèles ultérieurs,
  • iPad (5e génération) et modèles ultérieurs,
  • iPad mini 4 et modèles ultérieurs,
  • iPod Touch (7e génération).

iOS 15.5, note de version (securité)

iOS 15.5 et iPadOS 15.5

Publié le 16 mai 2022

AppleAVD

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2022-26702 : un chercheur anonyme

AppleGraphicsControl

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2022-26751 : Michael DePlante (@izobashi) du programme Zero Day Initiative de Trend Micro

AVEVideoEncoder

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-26736 : un chercheur anonyme

CVE-2022-26737 : un chercheur anonyme

CVE-2022-26738 : un chercheur anonyme

CVE-2022-26739 : un chercheur anonyme

CVE-2022-26740 : un chercheur anonyme

DriverKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-26763 : Linus Henze de Pinauten GmbH (pinauten.de)

GPU Drivers

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-26744 : un chercheur anonyme

ImageIO

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.

CVE-2022-26711 : actae0n du Blacksun Hackers Club en collaboration avec le programme Zero Day Initiative de Trend Micro

IOKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de concurrence a été résolu par un meilleur verrouillage.

CVE-2022-26701 : chenyuwang (@mzzzz__) du Tencent Security Xuanwu Lab

IOMobileFrameBuffer

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-26768 : un chercheur anonyme

IOSurfaceAccelerator

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-26771 : un chercheur anonyme

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2022-26714 : Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2022-26757 : Ned Williamson de Google Project Zero

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant étant déjà parvenu à exécuter du code au niveau du noyau peut être en mesure de contourner les mesures de protection appliquées à la mémoire de ce dernier.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2022-26764 : Linus Henze de Pinauten GmbH (pinauten.de)

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant malveillant disposant de privilèges arbitraires en lecture et écriture peut être en mesure de contourner la fonctionnalité d’authentification de pointeurs.

Description : un problème de concurrence a été résolu par une meilleure gestion des états.

CVE-2022-26765 : Linus Henze de Pinauten GmbH (pinauten.de)

LaunchServices

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un processus en sandbox peut contourner les restrictions de la sandbox.

Description : un problème d’accès a été résolu par des restrictions supplémentaires de la sandbox pour les applications tierces.

CVE-2022-26706 : Arsenii Kostromin (0x3c3e)

libxml2

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2022-23308

Notes

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un volume important de données d’entrée peut conduire à un déni de service.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2022-22673 : Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College Of Technology Bhopal

Safari Private Browsing

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un site web malveillant est susceptible de traquer les utilisateurs de Safari en mode de navigation privée.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2022-26731 : un chercheur anonyme

Security

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app malveillante peut contourner la validation des signatures.

Description : un problème d’analyse de certificat a été résolu par de meilleures vérifications.

CVE-2022-26766 : Linus Henze de Pinauten GmbH (pinauten.de)

Shortcuts

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une personne bénéficiant d’un accès physique à un appareil iOS peut être en mesure d’accéder aux photos via l’écran de verrouillage.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2022-26703 : Salman Syed (@slmnsd551)

WebKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 238178
CVE-2022-26700 : ryuzaki

WebKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 236950
CVE-2022-26709 : Chijin Zhou de ShuiMuYuLin Ltd et du Tsinghua wingtecher lab

WebKit Bugzilla : 237475
CVE-2022-26710 : Chijin Zhou de ShuiMuYuLin Ltd et du Tsinghua wingtecher lab

WebKit Bugzilla : 238171
CVE-2022-26717 : Jeonghoon Shin de Theori

WebKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 238183
CVE-2022-26716 : SorryMybad (@S0rryMybad) du Kunlun Lab

WebKit Bugzilla : 238699
CVE-2022-26719 : Dongzhuo Zhao en collaboration avec ADLab de Venustech

WebRTC

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : lors d’un appel WebRTC, l’aperçu vidéo de la caméra de l’utilisateur peut être interrompu si ce dernier répond à un appel téléphonique.

Description : un problème de logique dans la gestion des médias simultanés a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 237524
CVE-2022-22677 : un chercheur anonyme

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut entraîner la divulgation d’une mémoire restreinte.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2022-26745 : un chercheur anonyme

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut être en mesure d’augmenter les privilèges.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-26760 : 08Tc3wBB de la ZecOps Mobile EDR Team

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2015-4142 : Kostya Kortchinsky de la Google Security Team

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2022-26762 : Wang Yu de Cyberserval

 

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Partager
Publié par
Jérôme Gianoli

Article récent

The Last of Us Part II Remastered débarque sur PC en avril 2025

Naughty Dog a officiellement annoncé que The Last of Us Part II Remastered sera disponible… Lire d'avantage

13/12/2024

CD Projekt RED dévoile The Witcher IV avec Ciri en vedette, bande annonce !

Les Game Awards 2024 a été l'occasion pour CD Projekt RED de dévoiler, à la… Lire d'avantage

13/12/2024

Final Fantasy VII Rebirth débarque sur PC le 23 janvier 2025

Lors de The Game Awards 2024, Square Enix a officialisé le lancement de Final Fantasy VII… Lire d'avantage

13/12/2024

The Outer Worlds 2 : Un voyage plus audacieux vers Arcadia, nouvelle bande annonce

La suite de The Outer Worlds a été officiellement révélée lors des Game Awards 2024… Lire d'avantage

13/12/2024

GeForce RTX 50 series, une annonce en janvier 2025, que faut-il savoir ?

Les rumeurs et fuites concernant les cartes graphiques de la série GeForce RTX 50 series… Lire d'avantage

13/12/2024

L’Epic Games Store offre un jeu vidéo toutes les 24 heures !

L'Epic Games Store revient avec sa promotion spéciale de Noël, offrant un jeu gratuit toutes… Lire d'avantage

13/12/2024