Apple heeft donderdag noodpatches uitgerold om twee zero-day-fouten in zijn… mobiel en desktop-besturingssystemen dat het zei dat het in het wild is uitgebuit.
De tekortkomingen zijn verholpen als onderdeel van updates voor iOS en iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 en watchOS 8.5.1. Beide kwetsbaarheden zijn anoniem bij Apple gemeld.
Bijgehouden als CVE-2022-22675het probleem is beschreven als een out-of-bounds schrijven kwetsbaarheid in een audio- en videodecoderingscomponent genaamd AppleAVD die een toepassing in staat zou kunnen stellen willekeurige code uit te voeren met kernelprivileges.
Apple zei dat het defect is opgelost met een verbeterde grenscontrole, eraan toevoegend dat het zich ervan bewust is dat “dit probleem mogelijk actief is misbruikt”.
De nieuwste versie van macOS Monterey bevat naast het repareren van CVE-2022-22675 ook herstel voor CVE-2022-22674een out-of-bounds lezen probleem in de Intel Graphics Driver-module, waardoor een kwaadwillende actor het kernelgeheugen kan lezen.
De bug werd “geadresseerd met verbeterde invoervalidatie”, merkte de iPhone-maker op, opnieuw aangevend dat er bewijs is van actieve exploitatie, terwijl aanvullende details werden achtergehouden om verder misbruik te voorkomen.
De laatste updates brengen het totale aantal actief benutte zero-days dat door Apple is gepatcht op vier sinds het begin van het jaar, om nog maar te zwijgen van een openbaar gemaakte fout in de IndexedDB API (CVE-2022-22594), die misbruikt zou kunnen worden door een kwaadwillende website om de online activiteiten en identiteiten van gebruikers in de webbrowser te volgen.
- CVE-2022-22587 (IOMobileFrameBuffer) – Een kwaadwillende toepassing kan willekeurige code uitvoeren met kernelrechten
- CVE-2022-22620 (WebKit) – Het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
In het licht van de actieve exploitatie van de fouten, wordt Apple iPhone-, iPad- en Mac-gebruikers ten zeerste aanbevolen om zo snel mogelijk te upgraden naar de nieuwste versies van de software om potentiële bedreigingen te verminderen.
De iOS- en iPad-updates zijn beschikbaar voor iPhone 6s en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad 5e generatie en nieuwer, iPad mini 4 en nieuwer en iPod touch (7e generatie).
