Apple am Mittwoch freigegeben iOS 15.3 und macOS Monterey 12.2 mit einer Korrektur für den Datenschutz-gefährdenden Fehler in Safari sowie zur Eindämmung eines Zero-Day-Fehlers, der angeblich in freier Wildbahn ausgenutzt wurde, um in seine Geräte einzudringen.
Verfolgt als CVE-2022-22587bezieht sich die Sicherheitsanfälligkeit auf ein Speicherbeschädigungsproblem in der IOMobileFrameBuffer-Komponente, die von einer böswilligen Anwendung missbraucht werden könnte, um beliebigen Code mit Kernel-Privilegien auszuführen.
Der iPhone-Hersteller sagte, er sei sich „eines Berichts bewusst, dass dieses Problem möglicherweise aktiv ausgenutzt wurde“, und fügte hinzu, dass er das Problem mit einer verbesserten Eingabevalidierung angegangen sei. Die Art der Angriffe, ihre Verbreitung oder die Identität der Bedrohungsakteure, die sie ausnutzen, wurden nicht offengelegt.
Einem anonymen Forscher zusammen mit Meysam Firouzi und Siddharth Aeri wurde zugeschrieben, den Fehler entdeckt und gemeldet zu haben.
CVE-2022-22587 ist die dritte Zero-Day-Schwachstelle, die innerhalb von sechs Monaten in IOMobileFrameBuffer entdeckt wurde CVE-2021-30807 und CVE-2021-30883. Im Dezember 2021 Apple entschlossen vier zusätzliche Schwachstellen in der Kernel-Erweiterung, die zur Verwaltung des Bildschirm-Framebuffers verwendet wird.
Ebenfalls vom Tech-Riesen behoben ist ein kürzlich bekannt gegebenes Problem Schwachstelle in Safari die aus einer fehlerhaften Implementierung des stammte IndexedDB-API (CVE-2022-22594), das von einer bösartigen Website missbraucht werden könnte, um die Online-Aktivitäten von Benutzern im Webbrowser zu verfolgen und sogar ihre Identität preiszugeben.
Andere bemerkenswerte Mängel sind -
- CVE-2022-22584 – Ein Speicherbeschädigungsproblem in ColorSync, das bei der Verarbeitung einer in böswilliger Absicht erstellten Datei zur Ausführung willkürlichen Codes führen kann
- CVE-2022-22578 – Ein Logikproblem in Crash Reporter, das es einer schädlichen Anwendung ermöglichen könnte, Root-Rechte zu erlangen
- CVE-2022-22585 – Ein Pfadvalidierungsproblem in iCloud, das von einer bösartigen Anwendung ausgenutzt werden könnte, um auf die Dateien eines Benutzers zuzugreifen
- CVE-2022-22591 – Ein Speicherbeschädigungsproblem im Intel-Grafiktreiber, das von einer böswilligen Anwendung missbraucht werden könnte, um beliebigen Code mit Kernel-Privilegien auszuführen
- CVE-2022-22593 – Ein Pufferüberlaufproblem im Kernel, das von einer böswilligen Anwendung missbraucht werden könnte, um beliebigen Code mit Kernel-Privilegien auszuführen
- CVE-2022-22590 – Ein Use-after-free-Problem in WebKit, das bei der Verarbeitung von in böser Absicht erstellten Webinhalten zur Ausführung willkürlichen Codes führen kann
Das Aktuelles sind für iPhone 6s und höher, iPad Pro (alle Modelle), iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher, iPod touch (7. Generation) und macOS-Geräte verfügbar Big Sur, Catalina und Monterey.
