USA. Cybersecurity and Infrastructure Security Agency (CISA) for nylig føjet en alvorlig fejl til sine kendte udnyttede sårbarheder (KEV) katalog, påvirker et spektrum af Apple-enheder, Herunder iOS, iPadOS, MacOS, tvOS, og watchOS.
CVE-2022-48618: Teknisk oversigt
Sporet som CVE-2022-48618 med en CVSS-score på 7.8, sårbarheden er centreret omkring en kerne komponent fejl, udgør en alvorlig trussel.
Apple anerkendte alvoren af situationen, angiver, at en angriber med vilkårlig læse- og skriveevne kan være i stand til at omgå Pointer Authentication. Ifølge Apples rådgivning, fejlen kan være blevet udnyttet i tidligere versioner af iOS 15.7.1.
For at imødegå dette, Apple implementerede hurtigt forbedrede kontroller for at løse problemet. Men, detaljerne om, hvordan sårbarheden udnyttes i virkelige scenarier, forbliver uoplyst, tilføjer et element af mystik til situationen.
Interessant, patches til CVE-2022-48618 blev diskret udgivet i december 13, 2022, sideløbende med lanceringen af iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2, og watchOS 9.2. overraskende, Offentliggørelsen af denne fejl kom først frem mere end et år senere i januar 9, 2024.
Denne hændelse gentager en tidligere beslutning fra Apple i juli 2022 når en lignende fejl (CVE-2022-32844, CVSS-score: 6.3) i kernen blev rettet med udgivelsen af iOS 15.6 og iPadOS 15.6. Det præciserede selskabet “En app med vilkårlig kernelæse- og skrivefunktion kan muligvis omgå Pointer Authentication,” og dette blev rettet gennem forbedret statsforvaltning.
Som svar på den aktive udnyttelse af CVE-2022-48618, CISA anbefaler indtrængende den føderale civile udøvende afdeling (FCEB) agenturer anvender rettelserne inden februar 21, 2024. Følelsen af uopsættelighed understreger de potentielle risici forbundet med sårbarheden.
Tilføjelse til kompleksiteten af situationen, Apple rettede en aktivt udnyttet fejl i WebKit-browsermotoren (CVE-2024-23222, CVSS-score: 8.8), at sikre en omfattende dækning. Denne rettelse er blevet udvidet til at omfatte Apple Vision Pro-headsettet, tilgængelig i visionOS 1.0.2.