На прошлой неделе Apple исправила две активно эксплуатируемые уязвимости в macOS Monterey, но аналитики Intego подчеркивают, что компания оставила незащищенными пользователей старых поддерживаемых версий своей ОС, то есть Big Sur и Catalina.

Речь идет об уязвимостях CVE-2022-22674 (проблема в коде медиа-декодера AppleAVD) и CVE-2022-22675 (out-of-bounds запись в Intel Graphics Driver).

Эксперт Intego Джошуа Лонг пишет, что проблема AppleAVD осталось неисправленной в macOS Big Sur (Catalina вообще не подвержена этой проблеме, поскольку в ней отсутствует компонент AppleAVD). Также, по его словам, уязвимость в Intel Graphics Driver влияет как на Big Sur, так и на Catalina, но в обоих случаях ОС остались без патчей.

Напомню, что поддержка macOS Catalina должно прекратиться примерно в ноябре 2022 года, а macOS Big Sur — в ноябре 2023 года. Но Apple обозначает вполне четкие сроки устаревания своего оборудования, и не говорит почти ничего относительно политики поддержки macOS. Обычно компания поддерживает активный релиз macOS примерно в течение года, а параллельно публикует обновления и патчи для двух предыдущих выпусков ОС. Но, похоже, что-то изменилось.

«Это первый случай с момента релиза macOS Monterey, когда Apple пренебрегает исправлением активно эксплуатируемых уязвимостей для Big Sur и Catalina, — говорит Лонг. — Предыдущие три активно эксплуатируемые уязвимости были устранены одновременно для Monterey, Big Sur и Catalina».

При этом представители Apple не поясняют, почему компания вдруг оставила старые версии macOS без патчей, а Лонг отмечает, что в итоге примерно 35-40% используемых сейчас Mac уязвимы к перед одной или обеим ошибками.

Лонг добавляет, что в Big Sur и Catalina существуют и десятки других уязвимостей, которые просто не используются хакерами столь активно.

«Apple имеет печальную историю сознательного оставления “поддерживаемых” версий macOS незащищенными от некоторых активно эксплуатируемых проблем. Такие ситуации, когда поставщик решает просто не выпускать патчи, иногда называют “вечным 0-day уязвимостями”», — резюмирует эксперт.

Источник: xakep