Apple łata zero-day Bugs w macOS i iOS

Firma Apple wydała dwie oddzielne łatki zarówno dla mobilnego systemu iOS, jak i systemu macOS używanego w komputerach Mac. Łatki usuwają luki, które prawdopodobnie są już wykorzystywane na wolności, i umożliwiają manipulowanie aktywnością jądra na urządzeniach Apple.

Błędy dotyczą zarówno urządzeń mobilnych, jak i komputerów Mac

Jedna poprawka naprawia lukę śledzoną pod oznaczeniem CVE-2022-22675, która dotyczy obu systemów operacyjnych. Oddzielna łatka naprawiająca kolejną lukę w systemie MacOS została zarejestrowana pod CVE-2022-22674.

Pierwszy z tych problemów, wspólny dla obu systemów operacyjnych Apple, dotyczy komponentu o nazwie AppleAVD. Błąd mógł pozwolić na wykonanie dowolnego kodu zarówno na urządzeniach mobilnych z systemem iOS, jak i na komputerach Mac, a potencjalni cyberprzestępcy mogliby to zrobić z uprawnieniami jądra.

Nienazwany i anonimowy badacz zaalarmował Apple o problemach. Firma ogłosiła ponadto, że została poinformowana o doniesieniach, że ta luka może już być aktywnie wykorzystywana, co nigdy nie jest dobrą wiadomością.

Podczas gdy błąd CVE-2022-22675 był problemem z zapisem wykraczającym poza granice, drugi, mający wpływ tylko na macOS, jest opisany jako błąd odczytu poza granicami. Ten konkretny problem został wykryty w sterowniku graficznym Intel używanym przez system macOS. Błąd umożliwił potencjalnym złym aktorom dostęp do pamięci jądra i odczytywanie jej. Istnieją podejrzenia, że ten problem był już aktywnie wykorzystywany przed wydaniem poprawki.

Nieliczne szczegóły ujawnione przez Apple

Nie ma zbyt wielu dodatkowych informacji na temat specyfiki luk i możliwych sposobów ich wykorzystania. Apple prawdopodobnie ujawni bardziej szczegółowe specyfikacje i dane na temat luk w zabezpieczeniach i możliwych sposobów ich nadużywania, gdy będzie więcej czasu na wprowadzenie łatek i przeprowadzi pełniejsze dochodzenie w tej sprawie.