Apple a corrigé une vulnérabilité zero-day par la publication de mises à jour de sécurité pour iOS, iPadOS, macOS, tvOS et Safari. La faille pourrait entraîner l'exécution de code malveillant sur les systèmes affectés.

Suivi sous le nom de CVE-2022-42856, le problème est causé par une confusion de type dans le moteur de navigateur WebKit qui pourrait être déclenchée lors du traitement d'informations spécialement conçues et entraîner une exécution de code arbitraire.

Bien que les détails concernant la nature des attaques ne soient pas encore connus, il est probable qu'elles aient utilisé une forme d'ingénierie sociale pour infecter les appareils lorsque les utilisateurs visitaient un domaine malveillant ou légitime-mais-compromis via leur navigateur.

Il est important de noter qu'en raison des limitations fixées par Apple, tous les navigateurs Web tiers disponibles pour iOS et iPadOS, y compris Google Chrome, Mozilla Firefox et Microsoft Edge, entre autres, doivent utiliser le moteur de rendu WebKit.

Ce correctif marque la résolution de la dixième vulnérabilité zero-day découverte dans les logiciels Apple depuis le début de l'année. Il s'agit également de la neuvième faille de type "zero-day" activement exploitée en 2022.

Les dernières mises à jour d'iOS, iPadOS et macOS introduisent également une nouvelle fonction de sécurité appelée Advanced Data Protection for iCloud qui étend le chiffrement de bout en bout (E2EE) à iCloud Backup, Notes, Photos, et plus encore.