Apple ha recentemente rilasciato due patch di emergenza da correggere due giorni zero sfruttati attivamente in macOS e iOS di Apple (segnalato in forma anonima). La società ha affermato che i difetti sono stati sfruttati in natura.
Le vulnerabilità sono state corrette in iOS e iPadOS 15.4.1, macOS Monterey 12.3.1, TVOS 15.4.1, e watchos 8.5.1. Tuttavia, si scopre che Apple ha tralasciato le macchine che eseguono Bug Sur e Catalina.
La mela lascia Big Sur e Catalina senza patch
Un rapporto di Intego afferma che la società "ha scelto di lasciare circa il 35-40% di tutti i Mac supportati in pericolo di vulnerabilità sfruttate attivamente". Una settimana dopo la divulgazione dei bug, Apple non ha ancora rilasciato gli aggiornamenti di sicurezza corrispondenti per risolvere gli stessi problemi nelle due versioni precedenti di macOS, Grande Sur (Mac OS 11) e Catalina (Mac OS 10.15), disse Intego.
"Entrambe queste versioni di macOS apparentemente stanno ancora ricevendo patch per "vulnerabilità significative" e sfruttate attivamente zero-day le vulnerabilità si qualificano certamente come significative,” hanno aggiunto i ricercatori. Anche se l'azienda ha mostrato il comportamento salutare di patchare le due versioni precedenti del suo sistema operativo insieme a Monterey, ma ora ha trascurato di correggerli contro gli zero-day attivamente sfruttati.
Apple ha mantenuto la pratica di patchare le due versioni precedenti di macOS insieme all'attuale versione di macOS per quasi un decennio. Ma ora, Apple ha trascurato di applicare patch sia a Big Sur che a Catalina per affrontare le ultime vulnerabilità sfruttate attivamente.
CVE-2022-22675 è una vulnerabilità di scrittura fuori banda situata nel componente di decodifica audio e video chiamato AppleAVD. La vulnerabilità potrebbe portare all'esecuzione di codice arbitrario (noto anche come esecuzione di codice remoto) con privilegi del kernel.
CVE-2022-22674 è un problema di lettura fuori limite nel modulo Intel Graphics Driver. Il problema potrebbe consentire ad attori malintenzionati di leggere la memoria del kernel.
Il macOS Monterey 12.3.1 aggiornare, che è stato rilasciato la scorsa settimana, includeva correzioni per i due zero-day (CVE-2022-22675 e CVE-2022-22674). Il primo rimane senza patch per macOS Big Sur, e quest'ultimo sembra influenzare sia Big Sur che Catalina, Intego ha avvertito.