Apple pada hari Kamis merilis perbaikan untuk dua kerentanan kritis zero-day di perangkat iPhone, iPad dan Mac, yang memberi peretas akses berbahaya ke internal sistem operasi yang dijalankan perangkat.
Apple memuji seorang peneliti anonim yang menemukan kedua kerentanan tersebut. Kerentanan pertama, CVE-2022-22675, ada di macOS untuk Monterey dan di iOS atau iPadOS untuk sebagian besar model iPhone dan iPad. Cacat, yang berasal dari masalah penulisan di luar batas, memberi peretas kemampuan untuk mengeksekusi kode berbahaya yang berjalan dengan hak istimewa kernel, area sistem operasi yang paling sensitif terhadap keamanan. Pada saat yang sama, CVE-2022-22674 juga menghasilkan masalah pembacaan di luar batas yang dapat menyebabkan deteksi memori kernel.
Apple mengungkapkan detail cacat yang akurat di sini Dan di sini. Perusahaan menulis tentang kedua kerentanan: “Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.”
hujan apel nol hari
CVE-2022-22674 dan CVE-2022-22675 adalah zero-day keempat dan kelima yang dikoreksi Apple tahun ini. Pada bulan Januari, perusahaan dengan cepat merilis patch untuk iOS, iPadOS, macOS Monterey, watchOS, tvOS, dan HomePod. Perbaiki bug korupsi memori zero-day Itu dapat memberi pengeksploitasi kemampuan untuk mengeksekusi kode dengan hak istimewa kernel. Bug, yang dilacak sebagai CVE-2022-22587, ada di IOMobileFrameBuffer. Kerentanan terpisah, CVE-2022-22594, memungkinkan situs web melacak informasi pengguna yang sensitif. Kode eksploitasi untuk kerentanan ini dirilis secara publik sebelum rilis tambalan.
Apple pada bulan Februari mendorong perbaikan untuk Gunakan setelah bebas bug Ke dalam mesin browser Webkit yang memberi penyerang kemampuan untuk menjalankan kode berbahaya di iPhone, iPad, dan iTouches. Apple mengatakan laporan yang diterima menunjukkan bahwa kerentanan – CVE-2022-22620 – mungkin telah dieksploitasi secara aktif.
Sebuah Meja Peneliti keamanan Google melacak nol hari yang menunjukkan bahwa Apple memperbaiki total 12 dari kerentanan ini pada tahun 2021. Di antara mereka adalah cacat pada iMessage yang ditargetkan oleh kerangka kerja spyware Pegasus Eksploitasi nol klik, yang berarti bahwa perangkat terinfeksi segera setelah menerima pesan berbahaya, tanpa memerlukan tindakan apa pun dari pengguna. Zero Day That Apple Dikoreksi pada bulan Mei Itu memungkinkan penyerang untuk menginfeksi perangkat yang diperbarui sepenuhnya.
More Stories
“Akumulasi daging dalam jumlah besar” dan frasa meresahkan lainnya dari inspeksi USDA terhadap pabrik kepala babi
Bocoran rencana pengumuman PS5 Pro dan desain perangkat
Rilis fisik Castlevania Dominus Collection dikonfirmasi, pre-order dibuka bulan depan