📱 2022-04-01 02:51:09 – Paris/Frankrig.
Apple udgav torsdag patches til to kritiske nul-dages sårbarheder i iPhones, iPads og Macs, der giver hackere farlig adgang til interne komponenter i de operativsystemer, enhederne kører på.
Apple krediterede en anonym forsker for at opdage de to sårbarheder. Den første sårbarhed, CVE-2022-22675, findes i macOS til Monterey og i iOS eller iPadOS for de fleste iPhone- og iPad-modeller. Fejlen, som stammer fra et skriveproblem uden for grænserne, giver hackere mulighed for at udføre ondsindet kode, der kører med privilegier til kernen, den mest sikkerhedsfølsomme region i operativsystemet. CVE-2022-22674 er i mellemtiden også et resultat af et læseproblem uden for grænserne, der kan føre til afsløring af kernehukommelsen.
Apple afslørede rudimentære detaljer om fejlene her og her. "Apple er opmærksom på en rapport om, at dette problem kan være blevet aktivt udnyttet," skrev virksomheden om de to sårbarheder.
reklame
Apple Zero Days Regn
CVE-2022-22674 og CVE-2022-22675 er den fjerde og femte nul-dag fastsat af Apple i år. I januar udgav virksomheden patches til iOS, iPadOS, macOS Monterey, watchOS, tvOS og HomePod Software for at løse en nul-dages hukommelseskorruptionsfejl, der kunne give udnytter muligheden for at eksekvere kode med kernens privilegier. Fejlen, sporet som CVE-2022-22587, lå i IOMobileFrameBuffer. En separat sårbarhed, CVE-2022-22594, gjorde det muligt for websteder at spore følsomme brugeroplysninger. Udnyttelseskoden for denne sårbarhed blev offentliggjort, før patchen blev frigivet.
Apple udgav en gratis brug-efter-fejl-patch i Webkit-browsermotoren i februar, der gav angribere mulighed for at køre ondsindet kode på iPhones, iPads og iTouchs. Apple sagde, at modtagne rapporter indikerede, at sårbarheden - CVE-2022-22620 - også kunne være blevet aktivt udnyttet.
Et regneark, som Googles sikkerhedsforskere fastholder for at spore nul-dage, viser, at Apple rettede i alt 12 sådanne sårbarheder i 2021. Blandt disse var en fejl i iMessage, som spyware-rammeværket Pegasus målrettede ved hjælp af en nul-klik udnyttelse, hvilket betyder, at enheder blev inficeret blot af modtagelse af en ondsindet meddelelse uden brug af brugerhandling. To nul dage, som Apple patchede i maj, tillod angribere at inficere fuldt opdaterede enheder.
KILDE: Anmeldelser Nyheder
Tøv ikke med at dele vores artikel om sociale netværk for at give os et solidt løft. 📱