Apple corregge i bug zero-day in macOS e iOS

Apple ha distribuito due patch separate sia per i loro dispositivi mobili iOS che per macOS utilizzati nei computer Mac. Le patch affrontano le vulnerabilità che potrebbero essere già sfruttate in natura e consentono di manomettere l'attività del kernel sui dispositivi Apple.

I bug interessano sia i dispositivi mobili che i computer Mac

Una patch risolve una vulnerabilità rilevata con il designatore CVE-2022-22675, che interessa entrambi i sistemi operativi. Una patch separata che correggeva un'altra vulnerabilità solo su macOS è stata registrata in CVE-2022-22674.

Il primo di questi problemi, condiviso da entrambi i sistemi operativi di Apple, risiede in un componente chiamato AppleAVD. Il bug potrebbe consentire l'esecuzione di codice arbitrario sia su dispositivi mobili iOS che su Mac, e potenziali attori delle minacce potrebbero farlo con i privilegi del kernel.

Un ricercatore anonimo e anonimo ha avvisato Apple dei problemi. La società ha inoltre annunciato di essere stata informata dei rapporti secondo cui questa vulnerabilità potrebbe già essere sfruttata attivamente, il che non è mai una buona notizia.

Mentre il bug CVE-2022-22675 era un problema di scrittura fuori limite, l'altro, che interessava solo macOS, è descritto come un bug di lettura fuori limite. Questo problema specifico è stato rilevato nel driver di grafica Intel utilizzato da macOS. Il bug consentiva a potenziali malintenzionati di accedere e leggere la memoria del kernel. Si sospetta che anche questo problema sia già stato sfruttato attivamente prima del rilascio della patch.

Scarsi dettagli rivelati da Apple

Non ci sono molte informazioni aggiuntive sulle specifiche delle vulnerabilità e sui possibili modi in cui potrebbero essere state sfruttate. Apple probabilmente rivelerà specifiche e dati più dettagliati sulle vulnerabilità e sui possibili modi per abusarne una volta che ci sarà stato più tempo per implementare le patch e avranno condotto un'indagine più completa sulla questione.