Noodpatches die twee zero-days oplossen in Apple's macOS en iOS (anoniem gemeld) is vrijgelaten. Het bedrijf zei dat de fouten in het wild zijn uitgebuit.
De kwetsbaarheden zijn verholpen in iOS en iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1, en watchos 8.5.1.
CVE-2022-22674 en CVE-2022-22675: Technische Details
CVE-2022-22675, die is gebruikt bij aanvallen, is een out-of-band schrijfkwetsbaarheid in de audio- en videodecoderingscomponent genaamd AppleAVD. De kwetsbaarheid kan leiden tot het uitvoeren van willekeurige code (ook gekend als uitvoering van externe code) met kernelrechten. De kwetsbaarheid is verholpen met verbeterde grenscontrole.
De andere kwetsbaarheid is geïdentificeerd als CVE-2022-22674, wat een out-of-bounds leesprobleem is in de Intel Graphics Driver-module. Het probleem kan kwaadwillende actoren in staat stellen om het kernelgeheugen te lezen, en is ook aangepakt met verbeterde invoervalidatie. Er is bewijs voor actieve exploits, ook, Apple zei.
Eerder dit jaar, beveiligingsonderzoeker Ryan Pickren ontdekte en rapporteerde aan Apple vier macOS-kwetsbaarheden die de Safari-browser hebben blootgelegd.
De hack van de onderzoeker "heeft met succes ongeautoriseerde cameratoegang verkregen door gebruik te maken van een reeks problemen met iCloud Sharing en Safari 15." Als resultaat van het onderzoek, 4 zero-day fouten kwamen naar buiten – CVE-2021-30861, CVE-2021-30975, en twee zonder CVE's. Pickren meldde de kwetsbaarheidsketen bij Apple en werd beloond $100,500 als een premie.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: