הפגיעויות עלולות לאפשר לגורמי איומים לשבש או לגשת לפעילות הליבה ועשויות להיות תחת ניצול אקטיבי.
אפל מיהרה להוציא תיקונים למשך יומיים אפס המשפיעים על macOS ו-iOS ביום חמישי, שניהם צפויים לניצול פעיל ועלולים לאפשר לשחקן איום לשבש או לגשת לפעילות הליבה.
Apple פרסמה נפרד עדכוני אבטחה עבור הבאגים - פגיעות המשפיעה הן על macOS והן על iOS במעקב כמו CVE-2022-22675 ופגם ב-macOS במעקב כמו CVE-2022-22674. הגילוי שלהם יוחס לחוקר אנונימי.
CVE-2022-22675 - שנמצא ברכיב AppleAVD הקיים גם ב-macOS וגם ב-iOS - יכול לאפשר לאפליקציה להפעיל קוד שרירותי עם הרשאות ליבה, על פי הייעוץ.
"בעיית כתיבה מחוץ לתחום טופלה עם בדיקת גבולות משופרת", על פי הייעוץ. "אפל מודעת לדיווח שייתכן שהבעיה הזו נוצלה באופן פעיל."
CVE-2022-22674 מתואר בייעוץ כ"בעיית קריאה מחוץ לתחום" ב-Intel Graphics Driver של macOS שיכול לאפשר ליישום לקרוא זיכרון ליבה. אפל התייחסה לבאג - שאולי גם נוצל באופן פעיל - עם אימות קלט משופר, אמרה החברה.
כפי שאופייני, אפל לא חשפה פרטים נוספים על הבעיות ועל אילו ניצולים עשויים להתרחש. היא לא תעשה זאת עד שתסיים את חקירת הפגיעות, לפי הייעוץ. עם זאת, לקוחות מתבקשים לעדכן מכשירים בהקדם האפשרי כדי לתקן את הבאגים.
שטף יום אפס
הפגיעויות מייצגות את הפגמים הרביעיים והחמישיים של יום האפס שתוקנה על ידי אפל השנה. המספר הזה נמצא במסלול טוב כדי לעמוד או להחליף את מספר סוגי הפגיעות הללו שאפל נאלצה להגיב אליהם עם תיקונים אשתקד, שהיה בן 12, לפי חוקרי אבטחה בגוגל, אשר שומרת גיליון אלקטרוני של פגמים של יום אפס מסווגים לפי ספק.
כדי להתחיל את 2022, בינואר, אפל תיקן שני באגים של יום אפס, אחד במערכת ההפעלה של המכשיר שלו ואחר במנוע ה-WebKit בבסיס דפדפן הספארי שלו. ואז בפברואר, אפל תיקנה עוד אחד מנוצל באופן פעיל באג WebKit, בעיה ללא שימוש לאחר השימוש שאפשרה לשחקני איומים להפעיל קוד שרירותי במכשירים המושפעים לאחר שהם מעבדים תוכן אינטרנט בעל מבנה זדוני.
בשנה שעברה, החברה התמודדה עם מספר WebKit zero-days כמו גם תיקוני מפתח אחרים שדרשו עדכוני חירום עבור מערכת ההפעלה השונות שלה, לפי הגיליון האלקטרוני של גוגל.
אחד הפגמים הללו עמד במרכזה של אחת המחלוקות הביטחוניות הגדולות של השנה - א פגיעות אפס קליק מיקוד ל-iMessage המכונה "ForcedEntry" כך של קבוצת NSO תוכנות ריגול של פגאסוס מנוצל לכאורה לרגל על פעילים ועיתונאים. המצב הוביל בסופו של דבר ל פעולה חוקית נלקח נגד החברה הישראלית על ידי חברת הבת של Facebook/Meta WhatsApp וכן אפל.
עוברים לענן? גלה איומי אבטחת ענן מתפתחים יחד עם עצות מוצקות כיצד להגן על הנכסים שלך עם שלנו ספר אלקטרוני להורדה בחינם, "אבטחת ענן: התחזית לשנת 2022." אנו בוחנים את הסיכונים והאתגרים העיקריים של ארגונים, שיטות עבודה מומלצות להגנה ועצות להצלחת אבטחה בסביבת מחשוב דינמית כזו, כולל רשימות בדיקה שימושיות.
