Η Apple διορθώνει σφάλματα Zero-Day σε macOS και iOS
Η Apple κυκλοφόρησε δύο ξεχωριστές ενημερώσεις κώδικα τόσο για το κινητό iOS όσο και για το macOS που χρησιμοποιείται σε υπολογιστές Mac. Οι ενημερωμένες εκδόσεις κώδικα αντιμετωπίζουν ευπάθειες που πιθανώς ήδη αποτελούν αντικείμενο εκμετάλλευσης στη φύση και επιτρέπουν την παραβίαση της δραστηριότητας του πυρήνα σε συσκευές Apple.
Τα σφάλματα επηρεάζουν τόσο τις κινητές συσκευές όσο και τους υπολογιστές Mac
Μία ενημέρωση κώδικα διορθώνει μια ευπάθεια που παρακολουθείται κάτω από τον προσδιορισμό CVE-2022-22675, η οποία επηρεάζει και τα δύο λειτουργικά συστήματα. Μια ξεχωριστή ενημέρωση κώδικα που διορθώνει μια άλλη ευπάθεια μόνο στο macOS καταγράφηκε στο CVE-2022-22674.
Το πρώτο από αυτά τα ζητήματα, που μοιράζονται και τα δύο λειτουργικά συστήματα της Apple, βρίσκεται σε ένα στοιχείο που ονομάζεται AppleAVD. Το σφάλμα θα μπορούσε να επιτρέψει την αυθαίρετη εκτέλεση κώδικα τόσο σε κινητές συσκευές iOS όσο και σε Mac και οι πιθανοί παράγοντες απειλών θα μπορούσαν να το κάνουν αυτό με δικαιώματα πυρήνα.
Ένας ανώνυμος και ανώνυμος ερευνητής ειδοποίησε την Apple για τα ζητήματα. Η εταιρεία ανακοίνωσε περαιτέρω ότι ενημερώθηκε για αναφορές ότι αυτή η ευπάθεια μπορεί να έχει ήδη γίνει ενεργή εκμετάλλευση, κάτι που δεν είναι ποτέ καλό νέο.
Ενώ το σφάλμα CVE-2022-22675 ήταν ένα πρόβλημα εγγραφής εκτός ορίων, το άλλο, που επηρεάζει μόνο το macOS, περιγράφεται ως σφάλμα ανάγνωσης εκτός ορίων. Αυτό το συγκεκριμένο ζήτημα ανακαλύφθηκε στο πρόγραμμα οδήγησης γραφικών Intel που χρησιμοποιείται από το macOS. Το σφάλμα επέτρεψε σε πιθανούς κακούς ηθοποιούς να έχουν πρόσβαση και να διαβάζουν τη μνήμη του πυρήνα. Υπάρχουν ύποπτα ότι αυτό το ζήτημα έχει ήδη αξιοποιηθεί ενεργά πριν από την κυκλοφορία της ενημέρωσης κώδικα.
Ελάχιστες λεπτομέρειες αποκάλυψε η Apple
Δεν υπάρχουν πολλές πρόσθετες πληροφορίες σχετικά με τις ιδιαιτερότητες των τρωτών σημείων και τους πιθανούς τρόπους εκμετάλλευσης τους. Η Apple πιθανότατα θα αποκαλύψει πιο λεπτομερείς προδιαγραφές και δεδομένα σχετικά με τα τρωτά σημεία και τους πιθανούς τρόπους κατάχρησής τους μόλις υπάρξει περισσότερος χρόνος για την κυκλοφορία των ενημερώσεων κώδικα και έχουν διεξαχθεί μια πιο ολοκληρωμένη έρευνα για το θέμα.
