Apple heeft twee zero-days vastgesteld in de volgende besturingssystemen: – MacOS, iOS en iPadOS. De nul-dagen, bekend als CVE-2022-32893 en CVE-2022-32894, zijn in het wild uitgebuit tegen blootgestelde apparaten.
CVE-2022-32893 en CVE-2022-32894 in macOS, iOS en iPadOS
CVE-2022-32893 is een out-of-bounds-fout in WebKit waardoor willekeurige code kan worden uitgevoerd door speciaal vervaardigde webinhoud te verwerken. CVE-2022-32894 is ook een out-of-bands-probleem in de kernel dat kan worden gebruikt bij willekeurige code-uitvoeringsaanvallen die worden uitgevoerd met de hoogst mogelijke privileges.
Beide kwetsbaarheden zijn verholpen met verbeterde grenscontrole. Technische details rond de kwetsbaarheden zijn schaars. In termen van hoe de gebreken werden uitgebuit, het is zeer waarschijnlijk dat ze zijn gebruikt bij zeer gerichte aanvallen.
In juli, Apple heeft in totaal 37 software kwetsbaarheden in zijn besturingssystemen iOS, iPadOS, MacOS, tvOS, en watchos. De fouten hadden betrekking op verschillende delen van de besturingssystemen, en kan worden gebruikt voor escalatie van bevoegdheden, het uitvoeren van willekeurige code, het vrijgeven van informatie en denial-of-service-aanvalscenario's.