Экстренный патч Apple исправляет уязвимости нулевого дня, используемые для взлома iPhone и Mac

2022-04-01 1962 комментарии
Компания Apple выпустила обновление безопасности для устранения двух уязвимостей нулевого дня, которые злоумышленники использовали для взлома iPhone, iPad и компьютеров Mac

Уязвимости нулевого дня представляют собой проблемы безопасности, о которых компании-разработчику неизвестно. В некоторых случаях они имеют общедоступные экспериментальные эксплойты или могут активно использоваться в реальных атаках.

В опубликованных 31 марта 2022 года бюллетенях по безопасности, компания Apple заявила, что уязвимости «могли активно эксплуатироваться».

Исправленные уязвимости:

  • CVE-2022-22674 — уязвимость выхода за границы области памяти при записи в драйвере Intel Graphics Driver, которая позволяет приложениям считывать память ядра.
  • CVE-2022-22675 — уязвимость ошибочного чтения данных в медиа-декодере AppleAVD, которая позволяет приложениям выполнять произвольный код с привилегиями ядра.

Об ошибках безопасности сообщили анонимные исследователи. Apple исправила уязвимости в iOS 15.4.1, iPadOS 15.4.1 и macOS Monterey 12.3.1, реализовав улучшенную проверку кода и границ чтения и записи.

Список затронутых устройств:

  • Компьютеры Mac под управлением macOS Monterey
  • iPhone 6s и новее
  • iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения).

Apple сообщила об активной эксплуатации уязвимостей в реальных атаках, однако не предоставила никакой дополнительной информации об этих инцидентах.

Сокрытие этой информации служит для того, чтобы обновления безопасности достигли как можно большего количества iPhone, iPad и Mac, прежде чем злоумышленники узнают подробности и начнут проводить злоупотребления.

Несмотря на то, что уязвимости, скорее всего, использовались в таргетированных атаках, пользователям рекомендуется установить обновления безопасности как можно скорее, чтобы обезопасить себя от потенциальных атак.

Apple исправила пять уязвимостей нулевого дня с начала года

В январе 2022 года Apple исправила еще две активно эксплуатируемые уязвимости нулевого дня, которые позволяют злоумышленникам выполнить произвольный код с привилегиями ядра (CVE-2022-22587) и отслеживать действия в Интернете и личные данные пользователей в режиме реального времени (CVE-2022-22594).

В феврале Apple выпустила обновления системы безопасности, чтобы исправить новую ошибку нулевого дня, которая использовалась для взлома iPhone, iPad и Mac и приводила к сбоям ОС и удаленному выполнению кода на взломанных устройствах.

Все три уязвимости нулевого дня затронули iPhone (iPhone 6s и новее), компьютеры Mac под управлением macOS Monterey и несколько моделей iPad.

В течение 2021 года компания исправила большое количество уязвимостей нулевого дня для устройств iOS, iPadOS и macOS, которые применялись в реальных атаках. Сюда входят ошибки безопасности, используемые для развертывания шпионского ПО Pegasus NSO на iPhone, принадлежащих журналистам, активистам и политикам.

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?