Apple исправляет ошибки нулевого дня в macOS и iOS

Apple выпустила два отдельных исправления как для своей мобильной iOS, так и для macOS, используемой на компьютерах Mac. Патчи устраняют уязвимости, которые, возможно, уже эксплуатируются в дикой природе, и позволяют вмешиваться в работу ядра на устройствах Apple.

Ошибки затрагивают как мобильные устройства, так и компьютеры Mac.

Один патч устраняет уязвимость, отслеживаемую под обозначением CVE-2022-22675, которая затрагивает обе операционные системы. Отдельный патч, исправляющий другую уязвимость только для macOS, зарегистрирован как CVE-2022-22674.

Первая из этих проблем, общая для обеих операционных систем Apple, связана с компонентом под названием AppleAVD. Ошибка может позволить выполнить произвольный код как на мобильных устройствах iOS, так и на компьютерах Mac, и потенциальные злоумышленники могут сделать это с привилегиями ядра.

Неназванный и анонимный исследователь предупредил Apple о проблемах. Компания также объявила, что ей стало известно о сообщениях о том, что эта уязвимость уже может активно использоваться, что никогда не бывает хорошей новостью.

В то время как ошибка CVE-2022-22675 была проблемой записи за пределы допустимого диапазона, другая ошибка, затрагивающая только macOS, описывается как ошибка чтения за пределами допустимого диапазона. Эта конкретная проблема была обнаружена в графическом драйвере Intel, используемом в macOS. Ошибка позволяла потенциальным злоумышленникам получать доступ и читать память ядра. Есть подозрения, что эта проблема уже активно эксплуатировалась до выхода патча.

Apple раскрыла скудные подробности

Дополнительной информации о специфике уязвимостей и возможных способах их использования не так много. Apple, вероятно, раскроет более подробные спецификации и данные об уязвимостях и возможных способах злоупотребления ими, как только будет больше времени для выпуска исправлений и они проведут более полное расследование этого вопроса.