Uncategorized

Apple skyndar ut patchar för två nolldagar och hotar iOS- och macOS-användare

Apple skyndar ut patchar för två nolldagar och hotar iOS- och macOS-användare

Apple släppte på torsdagen korrigeringar för två kritiska nolldagssårbarheter i iPhones, iPads och Macs som ger hackare farlig åtkomst till de interna funktionerna i de operativsystem som enheterna körs på.

Apple krediterade en anonym forskare för att ha upptäckt båda sårbarheterna. Den första sårbarheten, CVE-2022-22675, finns i macOS för Monterey och i iOS eller iPadOS för de flesta iPhone- och iPad-modeller. Felet, som härrör från ett skrivproblem utanför gränserna, ger hackare möjligheten att exekvera skadlig kod som körs med privilegier från kärnan, den mest säkerhetskänsliga regionen i operativsystemet. CVE-2022-22674, under tiden, är också ett resultat av ett läsproblem utanför gränserna som kan leda till att kärnminne avslöjas.

Apple avslöjade barbensdetaljer för bristerna här och här. “Apple är medveten om en rapport om att det här problemet kan ha utnyttjats aktivt”, skrev företaget om båda sårbarheterna.

Regnar ner Apple zero-days

CVE-2022-22674 och CVE-2022-22675 är de fjärde och femte zero-days som Apple har patchar i år. I januari skyndade företaget ut patchar för iOS, iPadOS, macOS Monterey, watchOS, tvOS och HomePod Software för att fixa ett noll-dagars minneskorruption som skulle kunna ge exploatörer möjligheten att exekvera kod med kärnprivilegier. Felet, spårat som CVE-2022-22587, fanns i IOMobileFrameBuffer. En separat sårbarhet, CVE-2022-22594, gjorde det möjligt för webbplatser att spåra känslig användarinformation. Exploateringskoden för den sårbarheten släpptes offentligt innan patchen utfärdades.

Apple i februari skickade ut en fix för en använd efter gratis bugg i webbläsarmotorn Webkit som gav angripare möjligheten att köra skadlig kod på iPhones, iPads och iTouchs. Apple sa att rapporter som de fick indikerade att sårbarheten – CVE-2022-22620 – också kan ha utnyttjats aktivt.

A kalkylblad Googles säkerhetsforskare håller fast vid att spåra noll dagar visar att Apple åtgärdade totalt 12 sådana sårbarheter under 2021. Bland dessa var ett fel i iMessage som Pegasus spionprogram var inriktat på med en utnyttja nollklick, vilket betyder att enheter infekterades bara genom att ta emot ett skadligt meddelande, utan att någon användaråtgärd krävdes. Två nolldagar som Apple lappade i maj gjort det möjligt för angripare att infektera helt uppdaterade enheter.

Related Articles

Leave a Reply

Your email address will not be published.

Back to top button
%d bloggers like this: