Apple har for nylig udgivet opdateringer til at rette en zero-day, kendt som CVE-2022-42827, i iOS og iPadOS. Ifølge selskabet, sårbarheden, som blev anmeldt anonymt, er blevet udnyttet i naturen.
CVE-2022-42827 i detaljer
Sårbarheden er et skriveproblem uden for grænserne i kernen, og er blevet behandlet med forbedret grænsekontrol. Med hensyn til dens indvirkning, en applikation kunne udføre vilkårlig kode med kernerettigheder. Ejere af iPhone 8 og senere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere, iPad mini 5. generation og nyere, skal installere opdateringen med det samme.
Tekniske detaljer omkring nuldagen er knappe. Med hensyn til hvordan fejlen blev udnyttet, det kan være blevet brugt i målrettede angreb, men Apple har ikke delt yderligere detaljer.
Hvad er en out-of-bounds Write-sårbarhed?
Ifølge CWE's definition, denne type sårbarhed refererer til softwaren, der skriver data forbi slutningen, eller før begyndelsen, af den påtænkte buffer. Dette problem kan resultere i korruption af data, et styrt, eller udførelse af kode. Med andre ord, udnyttelse kan forekomme, når et program forsøger at skrive data til en hukommelsesplacering uden for de grænser, det har tilladelse til at få adgang til. Dette kan føre til datakorruption, nedbrud, eller kodeudførelse.
Det generiske udtryk “hukommelse korruption” bruges ofte til at beskrive konsekvenserne af at skrive til hukommelsen uden for en buffers grænser, eller til hukommelse, der er ugyldig, når grundårsagen er noget andet end en sekventiel kopi af overdreven data fra en fast startposition. Dette kan omfatte problemer såsom ukorrekt pointer-aritmetik, adgang til ugyldige pointere på grund af ufuldstændig initialisering eller hukommelsesfrigivelse, etc, som pr CWE's definition.
Denne nul-dag er ikke den eneste rettede sårbarhed i denne opdatering, som den også behandlede 19 andre problemer i forskellige komponenter, såsom Kernel, WebKit, Kerne Bluetooth, Sandkasse, og andre.
I august, Apple fikset to andre uden for grænsen nul-dage der påvirkede macOS, iOS og iPadOS. Nul-dagene, kendt som CVE-2022-32893 og CVE-2022-32894, blev også brugt til angreb i naturen. Begge sårbarheder blev rettet med forbedret grænsekontrol.