Apple hat am Donnerstag Notfall-Patches veröffentlicht, um zwei Zero-Day-Lücken in seinen mobilen und Desktop-Betriebssystemen zu beheben, die nach eigenen Angaben in freier Wildbahn ausgenutzt werden können.
Die Schwachstellen wurden im Rahmen der Updates für iOS und iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 und watchOS 8.5.1 behoben. Die beiden Schwachstellen wurden Apple anonym gemeldet.
Unter der Bezeichnung CVE-2022-22675 wird die Schwachstelle als Out-of-Bounds-Write-Schwachstelle in einer Audio- und Video-Dekodierungskomponente namens AppleAVD beschrieben, die es einer Anwendung ermöglichen könnte, beliebigen Code mit Kernel-Rechten auszuführen.
Apple sagte, dass der Fehler mit einer verbesserten Überprüfung der Grenzen behoben wurde, und fügte hinzu, dass es sich bewusst ist, dass „dieses Problem aktiv ausgenutzt worden sein könnte“.
Die neueste Version von macOS Monterey behebt nicht nur CVE-2022-22675, sondern auch CVE-2022-22674, ein Out-of-Bounds-Read-Problem im Intel-Grafiktreibermodul, das es einem böswilligen Akteur ermöglichen könnte, den Kernelspeicher zu lesen.
Der Fehler wurde „mit einer verbesserten Eingabevalidierung behoben“, so der iPhone-Hersteller, der erneut feststellte, dass es Hinweise auf eine aktive Ausnutzung gibt, aber weitere Details zurückhielt, um weiteren Missbrauch zu verhindern.
Mit den jüngsten Updates hat Apple seit Anfang des Jahres insgesamt vier aktiv ausgenutzte Zero-Days gepatcht, ganz zu schweigen von der öffentlich gemeldeten Schwachstelle in der IndexedDB API (CVE-2022-22594), die von einer böswilligen Website ausgenutzt werden könnte, um die Online-Aktivitäten und Identitäten der Nutzer im Webbrowser zu verfolgen.
CVE-2022-22587 (IOMobileFrameBuffer) – Eine böswillige Anwendung kann unter Umständen beliebigen Code mit Kernel-Rechten ausführen
CVE-2022-22587 (IOMobileFrameBuffer) – Eine böswillige Anwendung kann unter Umständen beliebigen Code mit Kernel-Rechten ausführen CVE-2022-22620 (WebKit) – Die Verarbeitung böswillig gestalteter Webinhalte kann zur Ausführung von beliebigem Code führen
Da die Schwachstellen bereits aktiv ausgenutzt werden, wird Apple iPhone-, iPad- und Mac-Nutzern dringend empfohlen, so schnell wie möglich auf die neuesten Versionen der Software zu aktualisieren, um potenzielle Bedrohungen zu entschärfen.
Die iOS- und iPad-Updates sind für das iPhone 6s und höher, das iPad Pro (alle Modelle), das iPad Air 2 und höher, das iPad der 5. Generation und höher, das iPad mini 4 und höher und den iPod touch (7. Generation) verfügbar.