Accueil / Actualités / Logiciels / iOS / iOS 15.5 se déploie, quoi de neuf pour l’iPhone ?
iOS 15.5 d'Apple
iOS 15.5 d'Apple

iOS 15.5 se déploie, quoi de neuf pour l’iPhone ?

De manière discrète Apple déploie une mise à jour pour iOS. Son installation permet au système d’exploitation mobile d’évoluer en version 15.5.

En cours de déploiement la mise à jour iOS 15.5 corrige des bugs et colmate plusieurs failles de sécurité. Il s’agit d’une maintenance avec toutefois une petite nouveauté. Elle vise Podcasts. Un nouveau réglage permet de limiter le nombre d’épisodes stockés sur l’iPhone et de supprimer automatiquement les épisodes plus anciens.

Comme nous l’annoncions il s’agit d’une maintenance avec à la clé des correctifs. L’un d’eux résout un problème entraînant l’échec des automatisations du domicile déclenchées au départ ou à l’arrivée des personnes.

Sur la question de la sécurité, Apple colmate de nombreuses failles. Vous trouverez tous les détails en fin d’article. Elles concernent

  • Le Wi-Fi,
  • WebRTC,
  • WebKit,
  • Shortcuts,
  • Security,
  • Safari,
  • Notes,
  • Libxml2,
  • LauchServices,
  • Kernel,
  • IOSurfaceAccelerator,
  • IOMobileFrameBuffer,
  • IOKit,
  • ImageIO,
  • GPU Drivers,
  • DriverKit,
  • AVEVideoEncoder,
  • AppleGraphicsControl,
  • AppleAVD

iPhone, comment mettre à jour iOS ?

iOS 15.5 d'Apple

iOS 15.5 d’Apple

La mise à jour de l’iPhone n’est pas compliquée. Normalement l’icone Réglages alerte de la présence d’une ou plusieurs mises à jour. Il faut alors se rendre à l’adresse suivante

Réglage > Général > Mise à jour logicielle

Normalement une recherche automatique de nouvelle mise à jour se lance et iOS 15.5 doit apparaitre.

iOS 15.5 est proposé aux appareils

  • iPhone 6s et modèles ultérieurs,
  • iPad Pro (tous les modèles),
  • iPad Air 2 et modèles ultérieurs,
  • iPad (5e génération) et modèles ultérieurs,
  • iPad mini 4 et modèles ultérieurs,
  • iPod Touch (7e génération).

iOS 15.5, note de version (securité)

iOS 15.5 et iPadOS 15.5

Publié le 16 mai 2022

AppleAVD

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2022-26702 : un chercheur anonyme

AppleGraphicsControl

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2022-26751 : Michael DePlante (@izobashi) du programme Zero Day Initiative de Trend Micro

AVEVideoEncoder

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-26736 : un chercheur anonyme

CVE-2022-26737 : un chercheur anonyme

CVE-2022-26738 : un chercheur anonyme

CVE-2022-26739 : un chercheur anonyme

CVE-2022-26740 : un chercheur anonyme

DriverKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-26763 : Linus Henze de Pinauten GmbH (pinauten.de)

GPU Drivers

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-26744 : un chercheur anonyme

ImageIO

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.

CVE-2022-26711 : actae0n du Blacksun Hackers Club en collaboration avec le programme Zero Day Initiative de Trend Micro

IOKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de concurrence a été résolu par un meilleur verrouillage.

CVE-2022-26701 : chenyuwang (@mzzzz__) du Tencent Security Xuanwu Lab

IOMobileFrameBuffer

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-26768 : un chercheur anonyme

IOSurfaceAccelerator

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-26771 : un chercheur anonyme

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2022-26714 : Peter Nguyễn Vũ Hoàng (@peternguyen14) de STAR Labs (@starlabs_sg)

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2022-26757 : Ned Williamson de Google Project Zero

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant étant déjà parvenu à exécuter du code au niveau du noyau peut être en mesure de contourner les mesures de protection appliquées à la mémoire de ce dernier.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2022-26764 : Linus Henze de Pinauten GmbH (pinauten.de)

Kernel

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant malveillant disposant de privilèges arbitraires en lecture et écriture peut être en mesure de contourner la fonctionnalité d’authentification de pointeurs.

Description : un problème de concurrence a été résolu par une meilleure gestion des états.

CVE-2022-26765 : Linus Henze de Pinauten GmbH (pinauten.de)

LaunchServices

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un processus en sandbox peut contourner les restrictions de la sandbox.

Description : un problème d’accès a été résolu par des restrictions supplémentaires de la sandbox pour les applications tierces.

CVE-2022-26706 : Arsenii Kostromin (0x3c3e)

libxml2

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant distant peut provoquer la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2022-23308

Notes

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un volume important de données d’entrée peut conduire à un déni de service.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2022-22673 : Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College Of Technology Bhopal

Safari Private Browsing

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un site web malveillant est susceptible de traquer les utilisateurs de Safari en mode de navigation privée.

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2022-26731 : un chercheur anonyme

Security

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une app malveillante peut contourner la validation des signatures.

Description : un problème d’analyse de certificat a été résolu par de meilleures vérifications.

CVE-2022-26766 : Linus Henze de Pinauten GmbH (pinauten.de)

Shortcuts

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une personne bénéficiant d’un accès physique à un appareil iOS peut être en mesure d’accéder aux photos via l’écran de verrouillage.

Description : un problème d’autorisation a été résolu par une meilleure gestion des états.

CVE-2022-26703 : Salman Syed (@slmnsd551)

WebKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 238178
CVE-2022-26700 : ryuzaki

WebKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

WebKit Bugzilla : 236950
CVE-2022-26709 : Chijin Zhou de ShuiMuYuLin Ltd et du Tsinghua wingtecher lab

WebKit Bugzilla : 237475
CVE-2022-26710 : Chijin Zhou de ShuiMuYuLin Ltd et du Tsinghua wingtecher lab

WebKit Bugzilla : 238171
CVE-2022-26717 : Jeonghoon Shin de Theori

WebKit

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 238183
CVE-2022-26716 : SorryMybad (@S0rryMybad) du Kunlun Lab

WebKit Bugzilla : 238699
CVE-2022-26719 : Dongzhuo Zhao en collaboration avec ADLab de Venustech

WebRTC

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : lors d’un appel WebRTC, l’aperçu vidéo de la caméra de l’utilisateur peut être interrompu si ce dernier répond à un appel téléphonique.

Description : un problème de logique dans la gestion des médias simultanés a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 237524
CVE-2022-22677 : un chercheur anonyme

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut entraîner la divulgation d’une mémoire restreinte.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2022-26745 : un chercheur anonyme

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut être en mesure d’augmenter les privilèges.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion des états.

CVE-2022-26760 : 08Tc3wBB de la ZecOps Mobile EDR Team

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2015-4142 : Kostya Kortchinsky de la Google Security Team

Wi-Fi

Disponible pour : iPhone 6s et modèles ultérieurs, iPad Pro (tous les modèles), iPad Air 2 et modèles ultérieurs, iPad (5e génération) et modèles ultérieurs, iPad mini 4 et modèles ultérieurs et iPod touch (7e génération)

Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2022-26762 : Wang Yu de Cyberserval

 

À propos Jérôme Gianoli

Journaliste issu d’une formation scientifique. Aime l'innovation, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*