Apple heeft woensdag laat een dringende iOS-update uitgebracht met oplossingen voor 11 gedocumenteerde beveiligingsfouten en waarschuwde dat een van de kwetsbaarheden "actief is misbruikt".
In een barebones-advies erkende Apple dat de zero-day gericht was op een probleem met geheugencorruptie in IOMobileFrameBuffer, een vaak gerichte iOS-kernelextensie.
Zoals gebruikelijk heeft het bedrijf uit Cupertino, Californië geen details gedeeld over de actieve exploitatie of aanwijzingen voor een compromis om verdedigers te helpen bij het zoeken naar tekenen van inbraak.
De CVE-2022-22587-bug is: beschreven gewoon als een probleem met geheugenbeschadiging waardoor een kwaadwillende toepassing willekeurige code kan uitvoeren met kernelrechten.
[ LEES: Apple brengt urgente patch uit voor FORCEDENTRY Zero-Days ]
"Apple is op de hoogte van een rapport dat dit probleem mogelijk actief is misbruikt", zei het bedrijf cryptisch. Interessant is dat Apple drie verschillende onderzoekers heeft gecrediteerd voor het rapporteren van de fout en het helpen met de patch.
Naast de gedocumenteerde zero-day, lost de iOS 15.3-patch gevaarlijke fouten bij het uitvoeren van code op in ColorSync, de kernel en de WebKit-renderingengine.
De update dekt ook privilege-escalatie, datalekken en denial-of-service-fouten in meerdere iOS-componenten.
Afzonderlijk, Apple uitgedrukt een beveiligingsupdate voor macOS Catalina om meerdere beveiligingsproblemen op te lossen en a Safari-browserpatch die meerdere WebKit-beveiligingsfouten dekt.
Zie ook: Apple brengt urgente patch uit voor FORCEDENTRY Zero-Days
Zie ook: Nieuwe iOS Zero-Click Exploit verslaat Apple 'BlastDoor' Sandbox
Zie ook: Apple waarschuwt voor nieuwe zero-day-aanvallen op iOS, macOS
Ryan Naraine is hoofdredacteur bij SecurityWeek en gastheer van de populaire Beveiligingsgesprekken podcast-serie. Hij is een journalist en cyberbeveiligingsstrateeg met meer dan 20 jaar ervaring op het gebied van IT-beveiliging en technologische trends.
Ryan heeft beveiligingsprogramma's opgezet bij grote internationale merken, waaronder Intel Corp., Bishop Fox en Kaspersky GReAT. Hij is mede-oprichter van Threatpost en de wereldwijde SAS-conferentiereeks. Ryans carrière als journalist omvat onder meer artikelen bij grote technologiepublicaties, waaronder Ziff Davis eWEEK, CBS Interactive's ZDNet, PCMag en PC World.
Ryan is directeur van de non-profitorganisatie Security Tinkerers en spreekt regelmatig op beveiligingsconferenties over de hele wereld.
Volg Ryan op Twitter @ryanaraine.
Tags:
