Le vulnerabilità potrebbero consentire agli attori delle minacce di interrompere o accedere all’attività del kernel e potrebbero essere sotto sfruttamento attivo.
Apple si è precipitata fuori le patch per due zero-days che interessano macOS e iOS, entrambi i quali sono probabilmente sotto sfruttamento attivo e potrebbero consentire ad un attore minaccioso di interrompere o accedere all’attività del kernel.
Apple ha rilasciato aggiornamenti di sicurezza separati per i bug una vulnerabilità che colpisce sia macOS che iOS tracciata come CVE-2022-22675 e un difetto di macOS tracciato come CVE-2022-22674. La loro scoperta è stata attribuita ad un ricercatore anonimo.
CVE-2022-22675 trovato nel componente AppleAVD presente sia in macOS che in iOS potrebbe consentire a un’applicazione di eseguire codice arbitrario con privilegi del kernel, secondo l’advisory.
“Un problema di scrittura out-of-bounds è stato affrontato con un migliore controllo dei limiti“, secondo l’advisory. “Apple è a conoscenza di un rapporto che questo problema potrebbe essere stato attivamente sfruttato“.
CVE-2022-22674 è descritto nell’advisory come un “problema di lettura out-of-bounds” nel driver grafico Intel di macOS che potrebbe consentire ad un’applicazione di leggere la memoria del kernel. Apple ha affrontato il bug che potrebbe anche essere stato attivamente sfruttato con una migliore convalida dell’input, ha detto la società.
Come è tipico, Apple non ha rivelato più specifiche sui problemi e quali exploit possono verificarsi. Non lo farà fino a quando non completerà la sua indagine sulle vulnerabilità, secondo l’avviso. Tuttavia, i clienti sono invitati ad aggiornare i dispositivi il più presto possibile per patchare i bug.
Le vulnerabilità rappresentano la quarta e quinta falla zero-day patchata da Apple quest’anno. Questo numero è sulla buona strada per soddisfare o superare il numero di questi tipi di vulnerabilità a cui Apple è stata costretta a rispondere con correzioni l’anno scorso, che era di 12, secondo i ricercatori di sicurezza di Google, che mantiene un foglio di calcolo di difetti zero-day classificati per fornitore.
Per iniziare il 2022, a gennaio, Apple ha patchato due bug zero-day, uno nei suoi dispositivi OS e un altro nel motore WebKit alla base del suo browser Safari. Poi, nel mese di febbraio, Apple ha risolto un altro bug WebKit attivamente sfruttato, un problema use-after-free che ha permesso agli attori minacciosi di eseguire codice arbitrario sui dispositivi interessati dopo aver elaborato contenuti web malintenzionati.
L’anno scorso, l’azienda ha affrontato una serie di WebKit zero-days così come altre correzioni chiave che hanno richiesto aggiornamenti di emergenza per i suoi vari OS, secondo il foglio di calcolo di Google.
Una di queste falle è stata al centro di una delle più grandi controversie sulla sicurezza dell’anno una vulnerabilità zero-click che ha colpito iMessage soprannominata “ForcedEntry” che lo spyware Pegasus di NSO Group ha presumibilmente sfruttato per spiare attivisti e giornalisti. La situazione alla fine ha portato ad un’azione legale contro l’azienda con sede in Israele da parte di Facebook/Meta, sussidiaria di WhatsApp, e di Apple.
