AppleのmacOSとiOSで2つのゼロ日を修正する緊急パッチ (匿名で報告) リリースされました. 同社は、欠陥が野生で悪用されていると述べた.
脆弱性はiOSとiPadOSで修正されました 15.4.1, macOSモントレー 12.3.1, tvOS 15.4.1, とwatchOS 8.5.1.
CVE-2022-22674およびCVE-2022-22675: 技術的な詳細
CVE-2022-22675, 攻撃に使用された, AppleAVDと呼ばれるオーディオおよびビデオのデコードコンポーネントにある帯域外書き込みの脆弱性です. この脆弱性により、任意のコードが実行される可能性があります (としても知られている リモートコード実行) カーネル特権を持つ. 境界チェックが改善され、脆弱性が修正されました.
その他の脆弱性はCVE-2022-22674として識別されています, これは、IntelGraphicsDriverモジュールの範囲外の読み取りの問題です。. この問題により、悪意のある攻撃者がカーネルメモリを読み取る可能性があります, また、改善された入力検証で対処されています. 積極的な悪用の証拠があります, それも, アップル 言った.
今年の初め, セキュリティ研究者のライアン・ピクレンが発見し、アップルに報告 Safariブラウザを公開した4つのmacOSの脆弱性.
研究者のハッキングは、「iCloud共有とSafari 15の一連の問題を悪用することで、不正なカメラアクセスを成功裏に取得しました」。調査の結果, 4 ゼロデイ欠陥が発生しました– CVE-2021-30861, CVE-2021-30975, CVEなしの2つ. Pickrenは脆弱性チェーンをAppleに報告し、授与されました $100,500 賞金として.