Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine als hochsehenswert eingestufte Schwachstelle hinzugefügt, die iOS, iPadOS, macOS, tvOS und watchOS betrifft. Die Schwachstelle, die als CVE-2022-48618 bezeichnet wird und eine CVSS-Wertung von 7.8 hat, betrifft einen Fehler im Kernel-Komponenten. Apple hat in einem Sicherheitshinweis angegeben, dass ein Angreifer mit beliebiger Lese- und Schreibfähigkeit Pointer Authentication umgehen kann. Das Problem soll möglicherweise gegen Versionen von iOS vor iOS 15.7.1 ausgenutzt worden sein.
Apple hat das Problem mit verbesserten Kontrollen behoben. Aktuell ist nicht bekannt, wie die Schwachstelle in realen Angriffen ausgenutzt wird. Interessanterweise wurden Patches für die Schwachstelle bereits am 13. Dezember 2022 mit dem Release von iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 und watchOS 9.2 veröffentlicht, obwohl sie erst mehr als ein Jahr später am 9. Januar 2024 öffentlich bekannt gegeben wurde. Es ist erwähnenswert, dass Apple bereits eine ähnliche Schwachstelle im Kernel (CVE-2022-32844, CVSS-Wertung: 6.3) in iOS 15.6 und iPadOS 15.6 behoben hat, die am 20. Juli 2022 veröffentlicht wurden.
Aufgrund der aktiven Ausnutzung von CVE-2022-48618 empfiehlt CISA den zivilen Regierungsbehörden, die Korrekturen bis zum 21. Februar 2024 anzuwenden.