Apple macOS Ventura - CVE-2023-28206

Date de publication :

Un défaut de validation des données entrées dans le composant IOSurfaceAccelerator pour Apple macOS Ventura, iOS et iPadOS en version 16.4 permet à un attaquant, en utilisant une application spécialement forgée, d’exécuter du code arbitraire avec les privilèges les plus élevés.

CVE-2023-28206

[Score CVSS v3.1: 7.8]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire

Élévation de privilège

Exploitation

La vulnérabilité exploitée est du type

CWE-787: Out-of-bounds Write

Détails sur l'exploitation

  • Vecteur d'attaque : Local.

  • Complexité de l'attaque : Faible.

  • Privilèges nécessaires pour réaliser l'attaque : Aucun.

  • Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui.

  • L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui.

Preuve de concept

Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Apple macOS Ventura 13.3

AppleiOS 16.4

Apple iPadOS 16.4

Solutions ou recommandations

Mettre à jour Apple macOS Ventura vers la version 13.3.1.

Mettre à jour Apple vers la version iOS 16.4.1.

Mettre à jour Apple vers la version iPadOS 16.4.1.

Des informations complémentaires sont disponibles dans les bulletins publiés ici et ici par Apple.

Liens