Apple retter opp Zero-Day Bugs i macOS og iOS

Apple presset ut to separate oppdateringer for både deres mobile iOS og macOS som brukes på Mac-datamaskiner. Patchene adresserer sårbarheter som muligens allerede utnyttes i naturen og tillater tukling med kjerneaktivitet på Apple-enheter.

Bugs påvirker både mobile enheter og Mac-datamaskiner

Én oppdatering fikser en sårbarhet sporet under betegnelsen CVE-2022-22675, som påvirker begge operativsystemene. En separat oppdatering som fikser en annen sårbarhet på bare macOS ble logget under CVE-2022-22674.

Den første av disse problemene, som deles av begge Apples operativsystemer, ligger i en komponent kalt AppleAVD. Feilen kan tillate kjøring av vilkårlig kode på både iOS-mobilenheter og Mac-er, og potensielle trusselaktører kan gjøre det med kjerneprivilegier.

En navngitt og anonym forsker varslet Apple om problemene. Selskapet kunngjorde videre at det ble gjort oppmerksom på rapporter om at denne sårbarheten allerede kan være aktivt utnyttet, noe som aldri er gode nyheter.

Mens CVE-2022-22675-feilen var et skriveproblem utenfor grensene, beskrives den andre, som bare påvirker macOS, som en lesefeil utenfor grensene. Dette spesifikke problemet ble oppdaget i Intel-grafikkdriveren som brukes av macOS. Feilen tillot potensielle dårlige skuespillere å få tilgang til og lese kjerneminne. Det er mistenkelig at dette problemet allerede har blitt utnyttet aktivt før oppdateringen ble utgitt.

Knappe detaljer avslørt av Apple

Det er ikke mye tilleggsinformasjon om spesifikke sårbarheter og mulige måter de kan ha blitt utnyttet på. Apple vil sannsynligvis avsløre mer detaljerte spesifikasjoner og data om sårbarhetene og mulige måter å misbruke dem på når det har vært mer tid til å rulle ut oppdateringer og de har gjennomført en mer fullstendig undersøkelse av saken.