de U.S.. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) heeft onlangs een zeer ernstige fout toegevoegd aan de bekende uitgebuite kwetsbaarheden (KEV) catalogus, die een spectrum aan Apple-apparaten beïnvloeden, inclusief iOS, iPadOS, MacOS, tvOS, en watchos.
CVE-2022-48618: technisch overzicht
Bijgehouden als CVE-2022-48618 met een CVSS-score van 7.8, de kwetsbaarheid concentreert zich rond a pit componentfout, een ernstige bedreiging vormen.
Apple erkende de ernst van de situatie, waarin staat dat een aanvaller met willekeurige lees- en schrijfmogelijkheden de Pointer-authenticatie mogelijk kan omzeilen. Volgens het advies van Apple, de fout zou kunnen zijn uitgebuit in eerdere iOS-versies 15.7.1.
Om dit tegen te gaan, Apple voerde snel verbeterde controles in om het probleem aan te pakken. Echter, de details van hoe de kwetsbaarheid wordt uitgebuit in scenario's in de echte wereld blijven niet openbaar gemaakt, voegt een element van mysterie toe aan de situatie.
belangwekkend, patches voor CVE-2022-48618 zijn in december discreet uitgebracht 13, 2022, naast de lancering van iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2, en watchos 9.2. Verrassend, de publieke onthulling van deze tekortkoming kwam pas ruim een jaar later, in januari, aan het licht 9, 2024.
Dit incident weerspiegelt een eerdere resolutie van Apple in juli 2022 wanneer een soortgelijke fout (CVE-2022-32844, CVSS-score: 6.3) in de kernel werd aangepakt met de release van iOS 15.6 en iPadOS 15.6. Dat maakte het bedrijf duidelijk “Een app met willekeurige lees- en schrijfmogelijkheden voor de kernel kan mogelijk Pointer Authentication omzeilen,” en dit werd verholpen door een verbeterd staatsbeheer.
Als reactie op de actieve exploitatie van CVE-2022-48618, De CISA beveelt dringend de federale civiele uitvoerende macht aan (FCEB) agentschappen passen de oplossingen uiterlijk in februari toe 21, 2024. Het gevoel van urgentie onderstreept de potentiële risico’s die aan de kwetsbaarheid zijn verbonden.
Wat bijdraagt aan de complexiteit van de situatie, Apple heeft een actief misbruikte fout in de WebKit-browserengine aangepakt (CVE-2024-23222, CVSS-score: 8.8), zorgen voor een uitgebreide dekking. Deze oplossing is uitgebreid naar de Apple Vision Pro-headset, beschikbaar in visionOS 1.0.2.