Notfall-Patches, die zwei Zero-Days in Apples macOS und iOS beheben (anonym gemeldet) wurde veröffentlicht. Das Unternehmen sagte, die Fehler seien in freier Wildbahn ausgenutzt worden.
Die Schwachstellen wurden in iOS und iPadOS behoben 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1, und watchOS 8.5.1.
CVE-2022-22674 und CVE-2022-22675: Technische Daten
CVE-2022-22675, die bei Angriffen verwendet wurde, ist eine Out-of-Band-Schreibschwachstelle, die sich in der Audio- und Video-Decodierungskomponente namens AppleAVD befindet. Die Schwachstelle kann zur Ausführung willkürlichen Codes führen (alias Remotecodeausführung) mit Kernel-Privilegien. Die Schwachstelle wurde mit verbesserter Begrenzungsprüfung behoben.
Die andere Schwachstelle wurde als CVE-2022-22674 identifiziert, Dies ist ein Out-of-Bounds-Leseproblem im Intel Graphics Driver-Modul. Das Problem könnte es böswilligen Akteuren ermöglichen, Kernelspeicher zu lesen, und wurde auch mit einer verbesserten Eingabevalidierung behoben. Es gibt Hinweise auf aktive Exploits, zu, Apfel sagte.
Früher in diesem Jahr, Sicherheitsforscher Ryan Pickren entdeckt und Apple gemeldet vier MacOS-Schwachstellen, die den Safari-Browser offenlegten.
Der Hack des Forschers „erschuf erfolgreich unbefugten Zugriff auf die Kamera, indem er eine Reihe von Problemen mit iCloud Sharing und Safari 15 ausnutzte.“ Als Ergebnis der Recherche, 4 Zero-Day-Fehler wurden veröffentlicht – CVE-2021-30861, CVE-2021-30975, und zwei ohne CVEs. Pickren meldete Apple die Schwachstellenkette und erhielt den Zuschlag $100,500 als Prämie.