Zwei Zero-Days wurden von Apple in den folgenden Betriebssystemen behoben – Mac OS, iOS und iPadOS. Die Null-Tage, bekannt als CVE-2022-32893 und CVE-2022-32894, wurden in freier Wildbahn gegen exponierte Geräte ausgenutzt.
CVE-2022-32893 und CVE-2022-32894 unter macOS, iOS und iPadOS
CVE-2022-32893 ist ein Out-of-Bounds-Fehler in WebKit, der die Ausführung willkürlichen Codes durch die Verarbeitung speziell gestalteter Webinhalte ermöglicht. CVE-2022-32894 ist auch ein Out-of-Bands-Problem im Kernel, das bei Angriffen zur Ausführung willkürlichen Codes ausgenutzt werden könnte, die mit den höchstmöglichen Privilegien durchgeführt werden.
Beide Sicherheitslücken wurden mit verbesserter Begrenzungsprüfung behoben. Technische Details zu den Schwachstellen sind rar. In Bezug darauf, wie die Fehler ausgenutzt wurden, Es ist sehr wahrscheinlich, dass sie bei sehr gezielten Angriffen eingesetzt wurden.
Im Juli, Apple hat insgesamt festgesetzt 37 Software-Schwachstellen in seinen Betriebssystemen iOS, iPadOS, Mac OS, tvOS, und watchOS. Die Fehler betrafen verschiedene Teile der Betriebssysteme, und könnte zur Eskalation von Privilegien verwendet werden, die Ausführung beliebigen Codes, Informationsoffenlegung und Denial-of-Service-Angriffsszenarien.