Apple hat kürzlich neue Versionen seiner Betriebssysteme veröffentlicht – iOS 15.3 und macOS Monterey 12.2, die eine Reihe von Fixes enthielt, inklusive zwei Zero-Days.
CVE-2022-22587
Der erste Zero-Day hängt mit der Speicherbeschädigung zusammen, und könnte einer bösartigen App erlauben, beliebigen Code mit Kernel-Privilegien auszuführen. Die Schwachstelle existiert im IOMobileFrameBuffer, Dies ist eine Kernel-Erweiterung, mit der Entwickler steuern können, wie der Speicher eines Geräts die Bildschirmanzeige handhabt, auch bekannt als Framebuffer.
Der Fehler CVE-2022-22587 betrifft iOS, iPadOS und macOS Monterey, mit dem Fix dafür, einschließlich einer verbesserten Eingabevalidierung. Es ist wahrscheinlich, dass der Fehler in freier Wildbahn ausgenutzt wurde. Beachten Sie auch, dass das Update für iPhone 6s und höher verfügbar ist, alle Modelle des iPad Pro, iPad Air 2 und später, iPad 5. Generation und höher, Ipad Mini 4 und später, und die siebte Generation des iPod touch.
CVE-2022-22594
Der zweite Zero-Day-Fix in diesem Monat ist CVE-2022-22594, Eine Schwachstelle bezüglich der Offenlegung von WebKit-Informationen in Safari. Das Problem betrifft Safari für macOS, iOS und iPadOS. Es wurde von FingerprintJS-Forschern enthüllt, und es könnte einer schnüffelnden Website ermöglichen, Informationen über andere Registerkarten zu entdecken, die der Benutzer möglicherweise geöffnet hat.
Die Schwachstelle kann als Cross-Origin-Richtlinienverstoß in der IndexDB-API beschrieben werden, Dabei handelt es sich um eine JavaScript-API, mit der Browser eine NoSQL-Datenbank mit JSON-Objekten verwalten. Das Problem wurde mit der Eingabevalidierung behoben.
Patches für die Schwachstellen sind in macOS Monterey verfügbar 12.2 und iOS/iPadOS 15.3 Aktuelles. iOS 15.3 enthält auch Korrekturen für Probleme im Zusammenhang mit dem Erlangen von Root-Rechten, Ausführung von beliebigem Code mit Kernel-Privilegien, und in der Lage zu sein, Benutzerdateien über iCloud zu erhalten.
Es ist bemerkenswert, dass Angreifer einen anderen verwendeten macOS WebKit-Fehler, CVE-2021-1801, letztes Jahr Malvertising-Kampagnen durchzuführen. Der Fehler betraf die Iframe-Sandboxing-Richtlinie durch die Verwendung von in böser Absicht erstellten Webinhalten, Dies wurde durch eine verbesserte Iframe-Sandbox-Erzwingung behoben. Die Schwachstelle ermöglichte es Angreifern, die Iframe-Sandboxing-Richtlinie der WebKit-Browser-Engine zu umgehen, die Safari und Google Chrome antreibt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: