Μία έκτακτη ενημέρωση για την αντιμετώπιση μιας ευπάθειας zero-day που μπορεί να εκμεταλλευτεί για την πραγματοποίηση επιθέσεων που στοχεύουν συσκευές Mac και Apple Watch, έχει κυκλοφορήσει από την Apple.
Δείτε επίσης: iOS 15.5 released: Όλα τα νέα χαρακτηριστικά που φέρνει η Apple
Για όσους δεν γνωρίζουν, τα Zero-days είναι ελαττώματα ασφαλείας για τα οποία ο προμηθευτής λογισμικού δεν γνωρίζει και δεν έχει επιδιορθώσει ακόμη. Σε ορισμένες περιπτώσεις, αυτός ο τύπος ευπάθειας μπορεί επίσης να έχει δημόσια διαθέσιμα PoC πριν από την άφιξη μιας ενημέρωσης κώδικα ή μπορεί να γίνει ενεργή εκμετάλλευσή της.
Σε συμβουλές ασφαλείας που εκδόθηκαν τη Δευτέρα, η Apple αποκάλυψε ότι γνωρίζει αναφορές σχετικά με αυτό το σφάλμα.
Το ελάττωμα είναι ένα πρόβλημα εγγραφής εκτός ορίων (CVE-2022-22675) στο AppleAVD (επέκταση πυρήνα για αποκωδικοποίηση ήχου και βίντεο) που επιτρέπει στις εφαρμογές να εκτελούν αυθαίρετο κώδικα με δικαιώματα πυρήνα.
Το σφάλμα αναφέρθηκε από ανώνυμους ερευνητές και επιδιορθώθηκε από την Apple στο macOS Big Sur 11.6, watchOS 8.6 και tvOS 15.5 με βελτιωμένο έλεγχο ορίων.
Η λίστα των επηρεαζόμενων συσκευών περιλαμβάνει τα Apple Watch Series 3 ή νεότερη έκδοση, Mac με macOS Big Sur, Apple TV 4K, Apple TV 4K (2ης γενιάς) και Apple TV HD.
Δείτε ακόμα: Τίτλοι τέλους για το iPod: Η Apple αποσύρει το θρυλικό music player
Ενώ η Apple αποκάλυψε αναφορές για ενεργή εκμετάλλευση της ευπάθειας, δεν έδωσε στη δημοσιότητα επιπλέον πληροφορίες σχετικά με αυτές τις επιθέσεις.
Με την απόκρυψη πληροφοριών, η εταιρεία πιθανότατα στοχεύει να επιτρέψει στις ενημερώσεις ασφαλείας να φτάσουν όσο το δυνατόν περισσότερα ρολόγια Apple και Mac, προτού οι επιτιθέμενοι ανακαλύψουν τα στοιχεία του zero-day και αρχίσουν να αναπτύσσουν εκμεταλλεύσεις τους για άλλες επιθέσεις.
Αν και αυτό το zero-day πιθανότατα χρησιμοποιήθηκε μόνο σε στοχευμένες επιθέσεις, συνιστάται όλοι οι χρήστες να εγκαταστήσου τις πρόσφατες ενημερώσεις ασφαλείας macOS και watchOS το συντομότερο δυνατό, για να αποκλειστούν τυχόν προσπάθειες επίθεσης.
Τον Μάρτιο, ανακαλύφθηκαν δύο ακόμη ενεργά εκμεταλλεύσιμα zero-days στο πρόγραμμα οδήγησης γραφικών Intel (CVE-2022-22674) και στον αποκωδικοποιητή πολυμέσων AppleAVD (CVE-2022-22675), ο τελευταίος επίσης υποστηρίχθηκε σήμερα σε παλαιότερες εκδόσεις του macOS, στο watchOS 8.6, και στο tvOS 15.5.
Δείτε επίσης: Kuo: Η Apple θα φέρει θύρα USB-C σε iPhone, AirPods και άλλα προϊόντα
Αυτά τα Zero-days, επηρεάζουν τα iPhone (iPhone 6s και νεότερες εκδόσεις), τους Mac με macOS Monterey και πολλά μοντέλα iPad.
Κατά τη διάρκεια του περασμένου έτους, η εταιρεία επιδιόρθωσε επίσης μια μακρά λίστα Zero-days, που εκμεταλλεύονταν ενεργά, για να στοχεύσουν συσκευές iOS, iPadOS και macOS.
