Appel op woensdag vrijgelaten iOS 15.3 en macOS Monterey 12.2 met een oplossing voor de privacyverstorende bug in Safari, en ook om een zero-day-fout te bevatten, die naar eigen zeggen in het wild is misbruikt om in te breken op zijn apparaten.
Bijgehouden als CVE-2022-22587heeft het beveiligingslek betrekking op een probleem met geheugenbeschadiging in het IOMobileFrameBuffer-onderdeel dat kan worden misbruikt door een kwaadwillende toepassing om willekeurige code uit te voeren met kernelrechten.
De iPhone-maker zei dat hij “op de hoogte is van een rapport dat dit probleem mogelijk actief is misbruikt”, en voegde eraan toe dat het het probleem aanpakte met verbeterde invoervalidatie. Het heeft niet de aard van de aanvallen onthuld, hoe wijdverbreid ze zijn, of de identiteit van de bedreigingsactoren die ze uitbuiten.
Een anonieme onderzoeker samen met Meysam Firouzi en Siddharth Aeri is gecrediteerd met het ontdekken en rapporteren van de fout.
CVE-2022-22587 is de derde zero-day-kwetsbaarheid die in IOMobileFrameBuffer is ontdekt in een periode van zes maanden na CVE-2021-30807 en CVE-2021-30883. In december 2021 loste Apple vier extra zwakheden op in de kernelextensie die wordt gebruikt om de schermframebuffer te beheren.
Ook opgelost door de techgigant is een recent onthulde kwetsbaarheid in Safari die voortkwam uit een foutieve implementatie van de IndexedDB-API (CVE-2022-22594), die door een kwaadwillende website kan worden misbruikt om de online activiteiten van gebruikers in de webbrowser te volgen en zelfs hun identiteit te onthullen.
Andere tekortkomingen van de nota zijn onder meer –
- CVE-2022-22584 – Een probleem met geheugenbeschadiging in ColorSync dat kan leiden tot het uitvoeren van willekeurige code bij het verwerken van een kwaadaardig vervaardigd bestand
- CVE-2022-22578 – Een logisch probleem in Crash Reporter waardoor een kwaadwillende toepassing rootrechten kan krijgen
- CVE-2022-22585 – Een padvalidatieprobleem in iCloud dat kan worden misbruikt door een frauduleuze applicatie om toegang te krijgen tot de bestanden van een gebruiker
- CVE-2022-22591 – Een probleem met geheugenbeschadiging in Intel Graphics Driver dat kan worden misbruikt door een kwaadwillende toepassing om willekeurige code uit te voeren met kernelrechten
- CVE-2022-22593 – Een bufferoverloopprobleem in de kernel dat kan worden misbruikt door een kwaadwillende toepassing om willekeurige code uit te voeren met kernelprivileges
- CVE-2022-22590 – Een use-after-free-probleem in WebKit dat kan leiden tot het uitvoeren van willekeurige code bij het verwerken van kwaadwillig vervaardigde webinhoud
De updates zijn beschikbaar voor iPhone 6s en later, iPad Pro (alle modellen), iPad Air 2 en later, iPad 5e generatie en later, iPad mini 4 en later, iPod touch (7e generatie) en macOS-apparaten die actief zijn Grote Sur, Catalinaen Monterey.
