Een zero-day-kwetsbaarheid in Macs en Apple-horloges is verholpen. De kwetsbaarheid, toegewezen aan het CVE-2022-22675-nummer, in het wild zou kunnen zijn uitgebuit, Apple zei. De fout is hoogstwaarschijnlijk gebruikt bij gerichte aanvallen. Echter, de update onmiddellijk toepassen is zeer aan te raden.
CVE-2022-22675 zero-day-beveiligingslek
Per definitie, een zero-day kwetsbaarheid (fout) is een onbekende exploit in het wild die gebruikmaakt van een kwetsbaarheid in software of hardware, in dit geval Apple-apparaten. Zo'n fout kan verschillende complicaties veroorzaken voordat iemand zich realiseert dat er iets mis is, waardoor het "nul-dag" wordt.
De kwetsbaarheid CVE-2022-22675 is beschreven als een out-of-bounds schrijfprobleem in de AppleAVD-component. De laatste is een kernelextensie die wordt gebruikt voor audio- en videodecodering. Door het beveiligingslek kunnen apps willekeurige code uitvoeren met kernelrechten.
De anoniem gerapporteerde fout is verholpen in macOS Big Sur 11.6, watchos 8.6, en tvOS 15.5 met verbeterde grenscontrole.
In april, Apple vrijgegeven noodpatches die twee zero-days hebben opgelost in Apple's macOS en iOS (anoniem gemeld). Het bedrijf zei dat de gebreken ook in het wild werden uitgebuit. De kwetsbaarheden zijn verholpen in iOS en iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1, en watchos 8.5.1.