Одна уязвимость позволяет выполнять произвольный код с привилегиями ядра, а другая — считывать память ядра.

Компания Apple в экстренном порядке выпустила исправления для двух уязвимостей нулевого дня в мобильных и настольных операционных системах, которые были проэксплуатированы в реальных атаках.

Проблемы были исправлены в рамках обновлений iOS и iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 и watchOS 8.5.1.

Уязвимость записи за пределами допустимого диапазона (CVE-2022-22675) в компоненте декодирования аудио и видео под названием AppleAVD может позволить приложению выполнять произвольный код с привилегиями ядра. Уязвимость была устранена путем улучшенной проверки границ.

Последняя версия macOS Monterey, помимо исправления для CVE-2022-22675, также включает исправление уязвимости чтения за пределами памяти (CVE-2022-22674) в модуле графического драйвера Intel, которая может позволить злоумышленнику считывать память ядра.

В связи с активной эксплуатацией уязвимостей пользователям Apple iPhone, iPad и Mac настоятельно рекомендуется как можно скорее обновить программное обеспечение до последних версий.

Источник: securitylab