Apple a récemment publié deux correctifs d'urgence pour corriger deux jours zéro activement exploités dans macOS et iOS d'Apple (signalé anonymement). La société a déclaré que les failles avaient été exploitées à l'état sauvage.
Les vulnérabilités ont été corrigées dans iOS et iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1, et watchos 8.5.1. Cependant, il s'avère qu'Apple a laissé de côté les machines exécutant Bug Sur et Catalina.
Apple laisse Big Sur et Catalina sans patch
Un rapport d'Intego indique que la société "a choisi de laisser environ 35 à 40 % de tous les Mac pris en charge en danger de vulnérabilités activement exploitées". Une semaine après la révélation des bugs, Apple n'a toujours pas publié les mises à jour de sécurité correspondantes pour résoudre les mêmes problèmes dans les deux versions précédentes de macOS, Grand Sur (macOS 11) et Catalina (macOS 10.15), Intego a dit.
"Ces deux versions de macOS reçoivent apparemment toujours des correctifs pour des" vulnérabilités importantes "et sont activement exploitées zero-day les vulnérabilités sont certainement qualifiées d'importantes,” les chercheurs ont ajouté. Même si la société a affiché le comportement sain de patcher les deux versions précédentes de son système d'exploitation avec Monterey, mais maintenant, il a négligé de les patcher contre les zero-days activement exploités.
Apple a maintenu la pratique consistant à corriger les deux versions précédentes de macOS aux côtés de la version actuelle de macOS pendant près d'une décennie. Mais maintenant, Apple a négligé de patcher Big Sur et Catalina pour corriger les dernières vulnérabilités activement exploitées.
CVE-2022-22675 est une vulnérabilité d'écriture hors bande située dans le composant de décodage audio et vidéo appelé AppleAVD. La vulnérabilité pourrait conduire à l'exécution de code arbitraire (également connu sous le nom d'exécution de code à distance) avec les privilèges du noyau.
CVE-2022-22674 est un problème de lecture hors limites dans le module Intel Graphics Driver. Le problème pourrait permettre à des acteurs malveillants de lire la mémoire du noyau.
Le macOS Monterey 12.3.1 mettre à jour, qui est sorti la semaine dernière, correctifs inclus pour les deux jours zéro (CVE-2022-22675 et CVE-2022-22674). Le premier reste non corrigé pour macOS Big Sur, et ce dernier semble affecter à la fois Big Sur et Catalina, Intego averti.