Apple retter Zero-Day Bugs i macOS og iOS

Apple udsendte to separate patches til både deres mobile iOS og macOS, der bruges på Mac-computere. Patches adresserer sårbarheder, der muligvis allerede udnyttes i naturen, og giver mulighed for at manipulere med kerneaktivitet på Apple-enheder.

Bugs påvirker både mobile enheder og Mac-computere

Én patch retter en sårbarhed sporet under betegnelsen CVE-2022-22675, som påvirker begge operativsystemer. En separat patch, der fikser en anden sårbarhed på netop macOS, blev logget under CVE-2022-22674.

Det første af disse problemer, som deles af begge Apples operativsystemer, ligger i en komponent kaldet AppleAVD. Fejlen kunne tillade vilkårlig kodeudførelse på både iOS-mobilenheder og Macs, og potentielle trusselsaktører kunne gøre det med kernerettigheder.

En unavngiven og anonym forsker gjorde Apple opmærksom på problemerne. Virksomheden meddelte endvidere, at det blev gjort opmærksom på rapporter om, at denne sårbarhed muligvis allerede er blevet aktivt udnyttet, hvilket aldrig er gode nyheder.

Mens CVE-2022-22675-fejlen var et skriveproblem uden for grænserne, beskrives den anden, der kun påvirker macOS, som en læsefejl uden for grænserne. Dette specifikke problem blev opdaget i Intel-grafikdriveren, der bruges af macOS. Fejlen tillod potentielle dårlige skuespillere at få adgang til og læse kernehukommelsen. Der er mistanke om, at dette problem også allerede er blevet udnyttet aktivt, før patchen blev frigivet.

Knappe detaljer afsløret af Apple

Der er ikke meget yderligere information om de særlige forhold ved sårbarhederne og de mulige måder, de kan være blevet udnyttet på. Apple vil sandsynligvis afsløre mere detaljerede specifikationer og data om sårbarhederne og mulige måder at misbruge dem på, når der har været mere tid til at udrulle patches, og de har gennemført en mere fuldstændig undersøgelse af sagen.