Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας για να διορθώσει, μεταξύ άλλων, δύο zero-day ευπάθειες. Η μια από αυτές έχει ήδη αποκαλυφθεί δημόσια και η άλλη χρησιμοποιείται ήδη από κακόβουλους χρήστες που προσπαθούν να χακάρουν iPhone και Mac.
Η πρώτη zero-day ευπάθεια που διόρθωσε η Apple, η οποία είναι γνωστή ως CVE-2022-22587, είναι ένα memory corruption bug στο IOMobileFrameBuffer. Το σφάλμα επηρεάζει το iOS, το iPadOS και το macOS Monterey. Η επιτυχής εκμετάλλευση αυτού του σφάλματος οδηγεί σε εκτέλεση κώδικα με δικαιώματα kernel σε παραβιασμένες συσκευές.
“Η Apple έχει μάθει ότι αυτό το ζήτημα μπορεί να χρησιμοποιείται από κακόβουλους χρήστες“, δήλωσε η Apple όταν περιέγραψε το zero-day σφάλμα.
Οι συσκευές της Apple που επηρεάζονται από το memory corruption zero-day bug, είναι:
- iPhone 6s και μεταγενέστερα μοντέλα
- iPad Pro (όλα τα μοντέλα)
- iPad Air 2 και μεταγενέστερα μοντέλα
- iPad 5ης γενιάς και μεταγενέστερα μοντέλα
- iPad mini 4 και μεταγενέστερα μοντέλα
- iPod touch (7ης γενιάς)
- macOS Monterey
Το σφάλμα εντοπίστηκε από έναν ανώνυμο ερευνητή και τους Meysam Firouzi (@R00tkitSMM) της MBition – Mercedes-Benz Innovation Lab και Siddharth Aeri (@b1n4r1b01).
Το δεύτερο zero-day είναι ένα σφάλμα του WebKit στο Safari, που επηρεάζει το iOS και το iPadOS και επιτρέπει στα websites να παρακολουθούν τη δραστηριότητα περιήγησης και τις ταυτότητες των χρηστών σε πραγματικό χρόνο.
Το σφάλμα αποκαλύφθηκε για πρώτη φορά στην Apple από τον Martin Bajanik της FingerprintJS στις 28 Νοεμβρίου 2021 και αποκαλύφθηκε δημόσια πριν από περίπου δύο εβδομάδες, στις 14 Ιανουαρίου 2022. Η ευπάθεια είναι γνωστή ως CVE-2022-22594 και διορθώνεται με την ενημέρωση ασφαλείας iOS 15.3 και iPadOS 15.3.
Πρόκειται για τις πρώτες zero-day ευπάθειες που διορθώθηκαν από την Apple μέσα στο 2022.
- Ενημερώσεις ασφαλείας iOS 15.3 και iPadOS 15.3
- Ενημερώσεις ασφαλείας macOS Monterey 12.2
Ωστόσο, τον περασμένο χρόνο, η Apple διόρθωσε έναν μεγάλο αριθμό zero-day ευπαθειών που χρησιμοποιήθηκαν σε επιθέσεις εναντίον συσκευών iOS και macOS.
