AppleはmacOSCatalinaで積極的に悪用されたゼロデイにパッチを当てていません, ビッグ・サー

Appleは最近、修正する2つの緊急パッチをリリースしました 2つの積極的に悪用されたゼロ日 AppleのmacOSとiOSで (匿名で報告). 同社は、欠陥が野生で悪用されていると述べた.

脆弱性はiOSとiPadOSで修正されました 15.4.1, macOSモントレー 12.3.1, tvOS 15.4.1, とwatchOS 8.5.1. でも, AppleがBugSurとCatalinaを実行しているマシンを除外していることが判明しました.

アップルはビッグサーとカタリナにパッチを当てないままにします

Integoのレポートによると、同社は「サポートされているすべてのMacの推定35〜40％を、積極的に悪用される脆弱性の危険にさらすことを選択しました」とのことです。バグが公開されてから1週間, Appleは、以前の2つのmacOSバージョンで同じ問題を修正するための対応するセキュリティアップデートをまだリリースしていません。, ビッグ・サー (マックOS 11) とカタリナ (マックOS 10.15), インテゴは言った.

「これらのmacOSバージョンはどちらも、表面上はまだ「重大な脆弱性」のパッチを受け取っており、積極的に悪用されています ゼロデイ 脆弱性は確かに重大と見なされます,」研究者は付け加えた. 同社は、モントレーに沿って以前の2つのバージョンのOSにパッチを適用するという健全な動作を示していますが, しかし今では、積極的に悪用されているゼロデイに対してパッチを適用することを怠っています。.

Appleは、現在のmacOSバージョンと一緒に以前の2つのmacOSバージョンにパッチを適用する慣行を10年近く維持してきました。. でも今, Appleは、最新の積極的に悪用された脆弱性に対処するために、BigSurとCatalinaの両方にパッチを適用することを怠っています。.

CVE-2022-22675は、AppleAVDと呼ばれるオーディオおよびビデオのデコードコンポーネントにある帯域外書き込みの脆弱性です。. この脆弱性により、任意のコードが実行される可能性があります (リモートコード実行とも呼ばれます) カーネル特権を持つ.

CVE-2022-22674は、IntelGraphicsDriverモジュールの範囲外の読み取りの問題です。. この問題により、悪意のある攻撃者がカーネルメモリを読み取る可能性があります.

macOSモントレー 12.3.1 アップデート, 先週リリースされました, 2つのゼロ日間の修正が含まれています (CVE-2022-22675およびCVE-2022-22674). 前者はmacOSBigSur用にパッチが適用されていないままです, 後者はビッグサーとカタリナの両方に影響を与えるようです, インテゴは警告しました.