Apple в четверг выпустила исправления для двух критических уязвимостей нулевого дня в iPhone, iPad и Mac, которые дают хакерам опасный доступ к внутренним компонентам операционных систем, на которых работают устройства.
Apple приписала анонимному исследователю обнаружение обеих уязвимостей. Первая уязвимость, CVE-2022-22675, есть в macOS для Monterey и в iOS или iPadOS для большинства моделей iPhone и iPad. Уязвимость, возникающая из-за проблемы с записью вне границ, дает хакерам возможность выполнять вредоносный код, который запускается с привилегиями ядра, наиболее чувствительной к безопасности области операционной системы. В то же время CVE-2022-22674 также приводит к проблеме чтения за пределами памяти, которая может привести к обнаружению памяти ядра.
Apple раскрыла точные детали уязвимости здесь И здесь. Компания написала об обеих уязвимостях: «Apple известно об отчете о том, что эта проблема могла активно эксплуатироваться».
дождь из яблок нулевые дни
CVE-2022-22674 и CVE-2022-22675 — это четвертая и пятая нулевые дни, исправленные Apple в этом году. В январе компания быстро выпустила исправления для iOS, iPadOS, macOS Monterey, watchOS, tvOS и HomePod. Исправить ошибку повреждения памяти нулевого дня Это может дать эксплуататорам возможность выполнять код с привилегиями ядра. Ошибка, которая отслеживается как CVE-2022-22587, находится в IOMobileFrameBuffer. Отдельная уязвимость CVE-2022-22594 позволяла веб-сайтам отслеживать конфиденциальную информацию о пользователях. Код эксплойта для этой уязвимости был опубликован до выпуска исправления.
Apple в феврале выдвинула исправление для Использовать после устранения ошибок В движок браузера Webkit, который дал злоумышленникам возможность запускать вредоносный код на iPhone, iPad и iTouch. Apple заявила, что полученные ею отчеты указывают на то, что уязвимость CVE-2022-22620, возможно, активно использовалась.
а Стол Исследователи безопасности Google отслеживают нулевые дни, показывая, что Apple исправила в общей сложности 12 таких уязвимостей в 2021 году. Среди них была уязвимость в iMessage, на которую нацелен шпионский фреймворк Pegasus. Используйте ноль кликов, что означает, что устройства были заражены, как только получили вредоносное сообщение, не требуя от пользователя никаких действий. Нулевой День Это Яблоко Исправлено в мае Это позволяло злоумышленникам заражать полностью обновленные устройства.
«Энтузиаст социальных сетей. Пивной ботаник. Злой коммуникатор. Любитель поп-культуры. Склонен к приступам апатии».
More Stories
Meta предлагает взглянуть на предполагаемого убийцу iPhone: Ориона
Слух: «Switch 2» выйдет в начале следующего года, согласно заявлению производителя аксессуаров.
Отчет: Apple меняет стратегию кино и редко выпускает масштабные кинотеатральные релизы