„Apple“ pataiso „Zero-Day“ klaidas „macOS“ ir „iOS“.

„Apple“ išleido du atskirus pataisymus tiek savo mobiliesiems „iOS“, tiek „Mac“ kompiuteriuose naudojamai „macOS“. Pataisymai pašalina pažeidžiamumą, kuris galbūt jau yra išnaudojamas laukinėje gamtoje, ir leidžia sugadinti branduolio veiklą Apple įrenginiuose.

Klaidos veikia tiek mobiliuosius įrenginius, tiek „Mac“ kompiuterius

Viena pataisa ištaiso pažeidžiamumą, pažymėtą pavadinimu CVE-2022-22675, kuris paveikia abi operacines sistemas. Atskira pataisa, ištaisanti kitą tik „macOS“ pažeidžiamumą, buvo užregistruota CVE-2022-22674.

Pirmoji iš šių problemų, kurią dalijasi abi Apple operacinės sistemos, yra komponente, vadinamame AppleAVD. Klaida gali leisti savavališkai vykdyti kodą tiek iOS mobiliuosiuose įrenginiuose, tiek Mac kompiuteriuose, o potencialūs grėsmės veikėjai galėtų tai padaryti turėdami branduolio privilegijas.

Neįvardytas ir anoniminis tyrėjas įspėjo „Apple“ apie problemas. Bendrovė taip pat paskelbė, kad buvo informuota apie pranešimus, kad šis pažeidžiamumas jau gali būti aktyviai išnaudojamas, o tai niekada nėra gera žinia.

Nors CVE-2022-22675 klaida buvo neribota rašymo problema, kita, turinti įtakos tik „macOS“, apibūdinama kaip peržengianti skaitymo klaida. Ši konkreti problema buvo aptikta „MacOS“ naudojamoje „Intel“ grafikos tvarkyklėje. Klaida leido potencialiems blogiems veikėjams pasiekti ir skaityti branduolio atmintį. Kyla įtarimų, kad ši problema taip pat buvo aktyviai išnaudota prieš išleidžiant pataisą.

„Apple“ atskleidė nedaug detalių

Nėra daug papildomos informacijos apie pažeidžiamumų specifiką ir galimus jų panaudojimo būdus. „Apple“ greičiausiai atskleis detalesnes specifikacijas ir duomenis apie pažeidžiamumą ir galimus piktnaudžiavimo būdus, kai tik bus daugiau laiko išleisti pataisas ir atliks išsamesnį šio klausimo tyrimą.