Apples Eile, Patches für zwei Tage Null zu veröffentlichen, bedroht iOS- und MacOS-Benutzer

Apple hat am Donnerstag Fixes für zwei kritische Zero-Day-Schwachstellen in iPhone-, iPad- und Mac-Geräten veröffentlicht, die Hackern gefährlichen Zugriff auf die Interna der Betriebssysteme ermöglichen, auf denen die Geräte laufen.

Apple schrieb die Entdeckung beider Schwachstellen einem anonymen Forscher zu. Die erste Schwachstelle, CVE-2022-22675, liegt in macOS für Monterey und in iOS oder iPadOS für die meisten iPhone- und iPad-Modelle. Der Fehler, der auf ein Out-of-Bounds-Schreibproblem zurückzuführen ist, gibt Hackern die Möglichkeit, bösartigen Code auszuführen, der mit Kernel-Privilegien ausgeführt wird, dem sicherheitsempfindlichsten Bereich des Betriebssystems. Gleichzeitig führt CVE-2022-22674 auch zu einem Out-of-Bounds-Leseproblem, das zur Kernel-Speichererkennung führen kann.

Apple enthüllte genaue Details der Mängel Hier Und das Hier. Zu beiden Schwachstellen schreibt das Unternehmen: „Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.“

Apple Zero Days regnen

CVE-2022-22674 und CVE-2022-22675 sind die vierten und fünften Zero-Days, die Apple in diesem Jahr korrigiert. Im Januar veröffentlichte das Unternehmen schnell Patches für iOS, iPadOS, macOS Monterey, watchOS, tvOS und HomePod. Zero-Day-Speicherbeschädigungsfehler behoben Es kann Exploitern die Möglichkeit geben, Code mit Kernel-Privilegien auszuführen. Der Fehler, der als CVE-2022-22587 verfolgt wird, befindet sich in IOMobileFrameBuffer. Eine separate Schwachstelle, CVE-2022-22594, ermöglichte es Websites, vertrauliche Benutzerinformationen zu verfolgen. Der Exploit-Code für diese Schwachstelle wurde vor der Veröffentlichung des Patches veröffentlicht.

Apple hat im Februar einen Fix für Verwenden Sie nach fehlerfrei In die Webkit-Browser-Engine, die Angreifern die Möglichkeit gab, bösartigen Code auf iPhones, iPads und iTouches auszuführen. Apple sagte, erhaltene Berichte deuten darauf hin, dass die Schwachstelle – CVE-2022-22620 – möglicherweise aktiv ausgenutzt wurde.

ein Tisch Google-Sicherheitsforscher verfolgen Zero Days, die zeigen, dass Apple im Jahr 2021 insgesamt 12 dieser Schwachstellen behoben hat. Darunter war ein Fehler in iMessage, auf den das Pegasus-Spyware-Framework abzielte Null Klicks ausnutzen, was bedeutet, dass die Geräte infiziert wurden, sobald sie eine bösartige Nachricht erhielten, ohne dass der Benutzer eingreifen musste. Zero Day, dieser Apfel Mai korrigiert Es ermöglichte Angreifern, vollständig aktualisierte Geräte zu infizieren.