Apple heeft onlangs twee noodpatches uitgebracht om te repareren twee actief geëxploiteerde zero-days in Apple's macOS en iOS (anoniem gemeld). Het bedrijf zei dat de fouten in het wild zijn uitgebuit.
De kwetsbaarheden zijn verholpen in iOS en iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1, en watchos 8.5.1. Echter, het blijkt dat Apple machines met Bug Sur en Catalina heeft weggelaten.
Apple laat Big Sur en Catalina ongepatcht
Een Intego-rapport zegt dat het bedrijf "ervoor heeft gekozen om naar schatting 35-40% van alle ondersteunde Macs in gevaar te brengen door actief misbruikte kwetsbaarheden." Een week nadat de bugs werden onthuld, Apple heeft nog steeds geen bijbehorende beveiligingsupdates uitgebracht om dezelfde problemen in de twee vorige macOS-versies op te lossen, Grote Sur (MacOS 11) en Catalina (MacOS 10.15), Intego zei:.
"Beide macOS-versies ontvangen ogenschijnlijk nog steeds patches voor "aanzienlijke kwetsbaarheden" - en worden actief misbruikt zero-day kwetsbaarheden kwalificeren zeker als significant,"voegden de onderzoekers eraan toe". Hoewel het bedrijf het gezonde gedrag heeft getoond van het patchen van de twee vorige versies van zijn besturingssysteem samen met Monterey, maar nu heeft het nagelaten om ze te patchen tegen actief misbruikte zero-days.
Apple heeft de praktijk van het patchen van de twee vorige macOS-versies naast de huidige macOS-versie bijna tien jaar volgehouden. Maar nu, Apple heeft verzuimd zowel Big Sur als Catalina te patchen om de nieuwste actief misbruikte kwetsbaarheden aan te pakken.
CVE-2022-22675 is een out-of-band schrijfkwetsbaarheid in de audio- en videodecoderingscomponent genaamd AppleAVD. De kwetsbaarheid kan leiden tot het uitvoeren van willekeurige code (ook bekend als uitvoering van externe code) met kernelrechten.
CVE-2022-22674 is een out-of-bounds leesprobleem in de Intel Graphics Driver-module. Het probleem kan kwaadwillende actoren in staat stellen om het kernelgeheugen te lezen.
De macOS Monterey 12.3.1 bijwerken, die vorige week werd uitgebracht, inclusief fixes voor de twee zero-days (CVE-2022-22675 en CVE-2022-22674). De eerste blijft ongepatcht voor macOS Big Sur, en de laatste lijkt zowel Big Sur als Catalina te beïnvloeden, Intego gewaarschuwd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: