Apple a publié des mises à jour de sécurité pour corriger pour la première fois cette année deux vulnérabilités zero-day.

Le premier correctif suivi sous le nom CVE-2022-22587, est un bogue de corruption de mémoire dans IOMobileFrameBuffer qui affecte iOS, iPadOS et macOS Monterey.

L’exploitation réussie de ce bogue conduit à l’exécution arbitraire de code avec des privilèges de noyau sur des périphériques compromis.

Les appareils touchés par ce bogue zero-day sont :

• iPhone 6s et versions ultérieures, iPad Pro (tous les modèles), iPad Air 2 et versions ultérieures, iPad 5e génération et versions ultérieures, iPad mini 4 et versions ultérieures et iPod touch (7e génération)
• macOS Monterey

Le deuxième zero-day est un bogue Safari WebKit dans iOS et iPadOS qui a permis aux sites Web de suivre l'activité de navigation et l’identité des utilisateurs en temps réel.

Le bogue a été divulgué publiquement le 14 janvier 2022, et attribué le nom CVE-2022-22594. Apple a corrigé ce bogue dans la mise à jour de sécurité iOS 15.3 et iPadOS 15.3.