Уязвимости нулевого дня представляют собой угрозы безопасности, которые еще не были исправлены, или о которых еще не знает компания-разработчик. В некоторых случаях данный вид уязвимостей может иметь общедоступные эксплойты подтверждения концепции и примеры реальных атак до выхода официального патча.
В бюллетенях безопасности, выпущенных в понедельник, компания Apple заявила, что данная проблема безопасности «могла активно использоваться в атаках».
Ошибка безопасности представляет собой уязвимость записи за пределами памяти (CVE-2022-22675) в модуле AppleAVD (расширение ядра для декодирования аудио и видео). Успешная эксплуатация уязвимости позволяет приложениям выполнять произвольный код с привилегиями ядра.
Apple узнала об уязвимости от анонимных исследователей и исправила ее, реализовав улучшенную проверку границ памяти в обновлениях macOS Big Sur 11.6, watchOS 8.6 и tvOS 15.5.
Уязвимость затрагивает устройства Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.
Хотя Apple говорит о зафиксированных случаях эксплуатации данной проблемы безопасности, компания не раскрывает никакой дополнительной информации на данный счет.
Скрывая эту информацию, Apple дает время пользователям, чтобы они смогли установить обновления до того, как злоумышленники узнают подробности уязвимости и начнут развертывать эксплойты в других атаках.
Хотя уязвимость, скорее всего, использовалась только в таргетированных атаках, пользователям настоятельно рекомендуется как можно скорее установить новейшие обновления безопасности macOS и watchOS, чтобы заблокировать попытки атаки.
Apple исправила 5 уязвимостей нулевого дня в 2022 году
В январе Apple исправила два эксплойта нулевого дня, один из которых CVE-2022-22587 позволял злоумышленникам выполнять произвольный код с привилегиями ядра, а другой с идентификатором CVE-2022-22594 — отслеживать активность пользователей в Интернете в режиме реального времени.
В феврале вышел патч против уязвимости CVE-2022-22620, используемой для взлома iPhone, iPad и Mac, что приводило к сбоям ОС и удаленному выполнению кода на скомпрометированных устройствах Apple.
В марте было исправлено еще две уязвимости нулевого дня: уязвимость в графическом драйвере Intel (CVE-2022-22674) и уязвимость в медиадекодере AppleAVD (CVE-2022-22675). Вторая уязвимость 16 мая была портирована в более старые версии macOS, watchOS 8.6, и tvOS 15.5.
Исправленные Apple в этом году уязвимости нулевого дня затрагивают iPhone (iPhone 6s и новее), компьютеры Mac под управлением macOS Monterey и несколько моделей iPad.
В течение прошлого года компания также исправила длинный список уязвимостей нулевого дня, которые использовались в реальных атаках на устройства под управлением iOS, iPadOS и macOS.
Обновления программ, что нового
• Релиз Firefox 114: Обновления безопасности и улучшения доступности «DNS через HTTPS»
• Apple представила macOS 14 Sonoma
• Apple представила iOS 17
• Антивирус Dr.Web 12.0 для Windows: Антибуткит-модуль, новые поведенческие алгоритмы и множество улучшений
• Нейросеть YandexGPT: Новый уровень ИИ-взаимодействия с поддержкой контекста беседы
• Релиз KeePass 2.54: Улучшения безопасности