Due zero-day sono stati fissati da Apple nei seguenti sistemi operativi – Mac OS, iOS e iPadOS. Gli zero giorni, noto come CVE-2022-32893 e CVE-2022-32894, sono stati sfruttati in natura contro dispositivi esposti.
CVE-2022-32893 e CVE-2022-32894 in macOS, iOS e iPadOS
CVE-2022-32893 è un difetto fuori limite in WebKit che consente l'esecuzione di codice arbitrario mediante l'elaborazione di contenuti Web appositamente predisposti. CVE-2022-32894 è anche un problema fuori banda nel kernel che potrebbe essere sfruttato in attacchi di esecuzione di codice arbitrario eseguiti con i più alti privilegi possibili.
Entrambe le vulnerabilità sono state risolte con un migliore controllo dei limiti. I dettagli tecnici sulle vulnerabilità sono scarsi. In termini di come sono stati sfruttati i difetti, è molto probabile che siano stati utilizzati in attacchi altamente mirati.
Nel mese di luglio, Apple ha riparato un totale di 37 vulnerabilità del software nei suoi sistemi operativi iOS, iPadOS, Mac OS, TVOS, e watchos. I difetti hanno interessato diverse parti dei sistemi operativi, e potrebbe essere utilizzato per l'escalation dei privilegi, l'esecuzione di codice arbitrario, divulgazione di informazioni e scenari di attacco denial-of-service.