AppleがmacOSとiOSのゼロデイバグにパッチを当てる

Appleは、モバイルiOSとMacコンピュータで使用されるmacOSの両方に2つの別々のパッチをプッシュしました。パッチは、すでに実際に悪用されている可能性のある脆弱性に対処し、Appleデバイスでのカーネルアクティビティの改ざんを可能にします。

バグはモバイルデバイスとMacコンピューターの両方に影響します

1つのパッチは、指定子CVE-2022-22675で追跡された脆弱性を修正します。これは、両方のオペレーティングシステムに影響します。 macOSだけの別の脆弱性を修正する別のパッチがCVE-2022-22674の下に記録されました。

これらの問題の最初のものは、Appleの両方のオペレーティングシステムで共有されており、AppleAVDと呼ばれるコンポーネントにあります。このバグにより、iOSモバイルデバイスとMacの両方で任意のコードが実行される可能性があり、潜在的な脅威アクターはカーネル権限でそれを実行する可能性があります。

名前のない匿名の研究者がAppleに問題を警告した。同社はさらに、この脆弱性がすでに積極的に悪用されている可能性があるという報告に気付いたと発表しましたが、これは決して良いニュースではありません。

CVE-2022-22675のバグは範囲外の書き込みの問題でしたが、macOSにのみ影響するもう1つのバグは、範囲外の読み取りのバグとして説明されています。この特定の問題は、macOSで使用されるIntelグラフィックスドライバーで発見されました。このバグにより、潜在的な悪意のある攻撃者がカーネルメモリにアクセスして読み取ることができました。この問題は、パッチがリリースされる前にすでに積極的に悪用されているのではないかと疑われています。

Appleによって明らかにされた希少な詳細

脆弱性の詳細と、それらが悪用された可能性のある方法についての追加情報はあまりありません。 Appleは、パッチを公開する時間が増え、問題についてより完全な調査を行った後、脆弱性に関するより詳細な仕様とデータ、およびそれらを悪用する可能性のある方法を開示する可能性があります。