Уязвимости нулевого дня представляют собой угрозы безопасности, которые еще не были исправлены, или о которых еще не знает компания-разработчик. В некоторых случаях данный вид уязвимостей может иметь общедоступные эксплойты подтверждения концепции и примеры реальных атак до выхода официального патча.
В бюллетенях безопасности, выпущенных в понедельник, компания Apple заявила, что данная проблема безопасности «могла активно использоваться в атаках».
Ошибка безопасности представляет собой уязвимость записи за пределами памяти (CVE-2022-22675) в модуле AppleAVD (расширение ядра для декодирования аудио и видео). Успешная эксплуатация уязвимости позволяет приложениям выполнять произвольный код с привилегиями ядра.
Apple узнала об уязвимости от анонимных исследователей и исправила ее, реализовав улучшенную проверку границ памяти в обновлениях macOS Big Sur 11.6, watchOS 8.6 и tvOS 15.5.
Уязвимость затрагивает устройства Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.
Хотя Apple говорит о зафиксированных случаях эксплуатации данной проблемы безопасности, компания не раскрывает никакой дополнительной информации на данный счет.
Скрывая эту информацию, Apple дает время пользователям, чтобы они смогли установить обновления до того, как злоумышленники узнают подробности уязвимости и начнут развертывать эксплойты в других атаках.
Хотя уязвимость, скорее всего, использовалась только в таргетированных атаках, пользователям настоятельно рекомендуется как можно скорее установить новейшие обновления безопасности macOS и watchOS, чтобы заблокировать попытки атаки.
Apple исправила 5 уязвимостей нулевого дня в 2022 году
В январе Apple исправила два эксплойта нулевого дня, один из которых CVE-2022-22587 позволял злоумышленникам выполнять произвольный код с привилегиями ядра, а другой с идентификатором CVE-2022-22594 — отслеживать активность пользователей в Интернете в режиме реального времени.
В феврале вышел патч против уязвимости CVE-2022-22620, используемой для взлома iPhone, iPad и Mac, что приводило к сбоям ОС и удаленному выполнению кода на скомпрометированных устройствах Apple.
В марте было исправлено еще две уязвимости нулевого дня: уязвимость в графическом драйвере Intel (CVE-2022-22674) и уязвимость в медиадекодере AppleAVD (CVE-2022-22675). Вторая уязвимость 16 мая была портирована в более старые версии macOS, watchOS 8.6, и tvOS 15.5.
Исправленные Apple в этом году уязвимости нулевого дня затрагивают iPhone (iPhone 6s и новее), компьютеры Mac под управлением macOS Monterey и несколько моделей iPad.
В течение прошлого года компания также исправила длинный список уязвимостей нулевого дня, которые использовались в реальных атаках на устройства под управлением iOS, iPadOS и macOS.
Обновления программ, что нового
• Google Chrome начал использовать Gemini Nano для защиты от онлайн-мошенничества
• Обновление Intel ARC Game On Driver 32.0.101.6793 Non-WHQL. Поддержка DOOM: The Dark Ages и Japanese Drift Master
• Релиз HarmonyOS PC: Huawei бросает вызов Windows и macOS
• Intel: новое обновление микрокода 0x12F для процессоров 13-го и 14-го поколения не влияет на производительность
• Samsung Galaxy S22 начал получать One UI 7 в Европе: обновлённый интерфейс и Android 15 уже доступны
• Обновление Raspberry Pi OS: Новый экран блокировки, улучшенное приложение печати и другие улучшения