Apple har for nylig udgivet to nødpatches, der skal rettes to aktivt udnyttede zero-days i Apples macOS og iOS (anmeldt anonymt). Virksomheden sagde, at fejlene er blevet udnyttet i naturen.
Sårbarhederne er blevet rettet i iOS og iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1, og watchOS 8.5.1. Men, det viser sig, at Apple har udeladt maskiner, der kører Bug Sur og Catalina.
Æbleblade Big Sur og Catalina ulappet
En Intego-rapport siger, at virksomheden "har valgt at efterlade anslået 35-40% af alle understøttede Mac'er i fare for aktivt udnyttede sårbarheder." En uge efter, at fejlene blev afsløret, Apple har stadig ikke udgivet tilsvarende sikkerhedsopdateringer til at løse de samme problemer i de to tidligere macOS-versioner, Big Sur (MacOS 11) og Catalina (MacOS 10.15), sagde Intego.
"Begge disse macOS-versioner modtager tilsyneladende stadig patches for "betydelige sårbarheder" - og udnyttes aktivt zero-day sårbarheder kvalificeres bestemt som betydelige,”Tilføjede forskerne. Selvom virksomheden har vist den sunde adfærd, at patche de to tidligere versioner af dets OS sammen med Monterey, men nu har den forsømt at lappe dem mod aktivt udnyttede zero-days.
Apple har fastholdt praksis med at patche de to tidligere macOS-versioner sammen med den nuværende macOS-version i næsten et årti. Men nu, Apple har forsømt at lappe både Big Sur og Catalina for at løse de seneste aktivt udnyttede sårbarheder.
CVE-2022-22675 er en out-of-band skrivesårbarhed placeret i lyd- og videoafkodningskomponenten kaldet AppleAVD. Sårbarheden kan føre til vilkårlig kodekørsel (også kendt som fjernudførelse af kode) med kernerettigheder.
CVE-2022-22674 er et læseproblem uden for grænserne i Intel Graphics Driver-modulet. Problemet kan gøre det muligt for ondsindede aktører at læse kernehukommelsen.
macOS Monterey 12.3.1 opdatering, som blev udgivet i sidste uge, inkluderet rettelser for de to nul-dage (CVE-2022-22675 og CVE-2022-22674). Førstnævnte forbliver upatchet til macOS Big Sur, og sidstnævnte ser ud til at påvirke både Big Sur og Catalina, Intego advarede.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: