Apple heeft donderdag beveiligingsupdates uitgebracht voor iOS, iPadOS, macOSen Safari om een nieuwe WebKit-fout aan te pakken waarvan het zei dat het actief in het wild is uitgebuit, waardoor het de derde zero-day-patch van het bedrijf is sinds het begin van het jaar.
Het probleem, bijgehouden als CVE-2022-22620, betreft een ‘use-after-free’-kwetsbaarheid in de WebKit-component die de Safari-webbrowser aanstuurt en kan worden misbruikt door een stuk speciaal vervaardigde webinhoud om willekeurige code-uitvoering te verkrijgen.
“Apple is op de hoogte van een rapport dat dit probleem mogelijk actief is misbruikt”, zei het bedrijf in een beknopte verklaring waarin het erkende aanvallen in het wild die gebruikmaken van de fout.
De iPhone-maker heeft een anonieme onderzoeker gecrediteerd voor het ontdekken en rapporteren van de fout, en voegde eraan toe dat het probleem werd verholpen met verbeterd geheugenbeheer.
De updates zijn beschikbaar voor iPhone 6s en hoger, iPad Pro (alle modellen), iPad Air 2 en hoger, iPad 5e generatie en hoger, iPad mini 4 en hoger, en iPod touch (7e generatie), macOS-apparaten met Big Sur en macOS Catalina, en ook als een zelfstandige update voor Safari.
De nieuwste oplossing brengt het aantal zero-day-patches die Apple voor 2022 heeft uitgegeven op drie, waaronder CVE-2022-22587 en CVE-2022-22594, die kunnen zijn misbruikt om willekeurige code uit te voeren en de online-activiteit van gebruikers op internet te volgen browser.
