Apple - CVE-2022-48618
Date de publication :
Un défaut de contrôle dans le protocole de Pointer Authentification de plusieurs produits Apple permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, de contourner la politique de sécurité.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-287: Improper Authentication
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
macOS version 13.0
iOS version 16.1
iPadOS version 16.1
tvOS version 16.1
watchOS version 9.1
Solutions ou recommandations
Mettre à jour macOS vers la version 13.1 ou ultérieure.
Mettre à jour iOS, iPadOS et tvOS vers la version 16.2 ou ultérieure.
Mettre à jour watchOS vers la version 9.2 ou ultérieure.
Apple a connaissance d’une exploitation sur les sytèmes iOS des versions antérieures à 15.7.1.
Des informations complémentaires sont disponibles dans le bulletin macOS, le bulletin iOS et iPadOS, le bulletin tvOS et le bulletin watchOS d’Apple.