✔Apple выпустила экстренные патчи для 0-day уязвимостей в iOS, iPadOS и macOS - «Новости»

02 апреля 2022 1 090 Преимущества стилей / Новости 0

Обе уязвимости были обнаружены анонимными исследователями и исправлены в рамках обновлений iOS и iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 и watchOS 8.5.1.

Первая проблема, CVE-2022-22675, представляет собой уязвимость out-of-bounds записи и была обнаружена в коде медиа-декодера AppleAVD. Баг позволяет приложениям выполнять произвольный код с привилегиями ядра. Вторая проблема имеет идентификатор CVE-2022-22674 и так же связана с out-of-bounds записью только в Intel Graphics Driver, что в итоге позволяет приложениям считывать память ядра.

Apple сообщает, что в первом случае баг был устранен путем внедрения улучшенной проверки границ (bounds). При этом в компании добавляют, что уязвимость уже могли активно использовать хакеры.

Во втором случае проблема была исправлена с помощью улучшенной валидации ввода. В этом случае у компании тоже есть доказательства активной эксплуатации уязвимости злоумышленниками, хотя никакие детали относительно этих атак пока не разглашаются, чтобы предотвратить дальнейшие злоупотребления.

Сообщается, что уязвимости представляли опасность для следующих устройств:

компьютеры Mac под управлением macOS Monterey;

iPhone 6s и новее;

iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).

Интересно, что патчи для CVE-2022-22674 и CVE-2022-22675 — это уже четвертое и пятое исправления для 0-day уязвимостей, которое компания Apple выпустила в этом году.

Разработчики Apple выпустили патчи для устранения двух уязвимостей нулевого дня, которые могли использоваться для компрометации устройств, работающих под управлением iOS, iPadOS и macOS. Обе уязвимости были обнаружены анонимными исследователями и исправлены в рамках обновлений iOS и iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 и watchOS 8.5.1. Первая проблема, CVE-2022-22675, представляет собой уязвимость out-of-bounds записи и была обнаружена в коде медиа-декодера AppleAVD. Баг позволяет приложениям выполнять произвольный код с привилегиями ядра. Вторая проблема имеет идентификатор CVE-2022-22674 и так же связана с out-of-bounds записью только в Intel Graphics Driver, что в итоге позволяет приложениям считывать память ядра. Apple сообщает, что в первом случае баг был устранен путем внедрения улучшенной проверки границ (bounds). При этом в компании добавляют, что уязвимость уже могли активно использовать хакеры. Во втором случае проблема была исправлена с помощью улучшенной валидации ввода. В этом случае у компании тоже есть доказательства активной эксплуатации уязвимости злоумышленниками, хотя никакие детали относительно этих атак пока не разглашаются, чтобы предотвратить дальнейшие злоупотребления. Сообщается, что уязвимости представляли опасность для следующих устройств: компьютеры Mac под управлением macOS Monterey; iPhone 6s и новее; iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения). Интересно, что патчи для CVE-2022-22674 и CVE-2022-22675 — это уже четвертое и пятое исправления для 0-day уязвимостей, которое компания Apple выпустила в этом году.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.