Huis > Cyber ​​Nieuws > CVE-2022-48618: Apple-fout in macOS, iOS actief uitgebuit
CYBER NEWS

CVE-2022-48618: Apple-fout in macOS, iOS actief uitgebuit

de U.S.. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) heeft onlangs een zeer ernstige fout toegevoegd aan de bekende uitgebuite kwetsbaarheden (KEV) catalogus, die een spectrum aan Apple-apparaten beïnvloeden, inclusief iOS, iPadOS, MacOS, tvOS, en watchos.

CVE-2022-48618: technisch overzicht

Bijgehouden als CVE-2022-48618 met een CVSS-score van 7.8, de kwetsbaarheid concentreert zich rond a pit componentfout, een ernstige bedreiging vormen.

CVE-2022-48618 Apple-fout in macOS, iOS actief uitgebuit

Apple erkende de ernst van de situatie, waarin staat dat een aanvaller met willekeurige lees- en schrijfmogelijkheden de Pointer-authenticatie mogelijk kan omzeilen. Volgens het advies van Apple, de fout zou kunnen zijn uitgebuit in eerdere iOS-versies 15.7.1.

Om dit tegen te gaan, Apple voerde snel verbeterde controles in om het probleem aan te pakken. Echter, de details van hoe de kwetsbaarheid wordt uitgebuit in scenario's in de echte wereld blijven niet openbaar gemaakt, voegt een element van mysterie toe aan de situatie.

belangwekkend, patches voor CVE-2022-48618 zijn in december discreet uitgebracht 13, 2022, naast de lancering van iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2, en watchos 9.2. Verrassend, de publieke onthulling van deze tekortkoming kwam pas ruim een jaar later, in januari, aan het licht 9, 2024.




Dit incident weerspiegelt een eerdere resolutie van Apple in juli 2022 wanneer een soortgelijke fout (CVE-2022-32844, CVSS-score: 6.3) in de kernel werd aangepakt met de release van iOS 15.6 en iPadOS 15.6. Dat maakte het bedrijf duidelijk “Een app met willekeurige lees- en schrijfmogelijkheden voor de kernel kan mogelijk Pointer Authentication omzeilen,” en dit werd verholpen door een verbeterd staatsbeheer.

Als reactie op de actieve exploitatie van CVE-2022-48618, De CISA beveelt dringend de federale civiele uitvoerende macht aan (FCEB) agentschappen passen de oplossingen uiterlijk in februari toe 21, 2024. Het gevoel van urgentie onderstreept de potentiële risico’s die aan de kwetsbaarheid zijn verbonden.

Wat bijdraagt aan de complexiteit van de situatie, Apple heeft een actief misbruikte fout in de WebKit-browserengine aangepakt (CVE-2024-23222, CVSS-score: 8.8), zorgen voor een uitgebreide dekking. Deze oplossing is uitgebreid naar de Apple Vision Pro-headset, beschikbaar in visionOS 1.0.2.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens