CISA предупредила сегодня, что исправленный недостаток в безопасности ядра, влияющий на iPhone Mac, телевизоры и часы Apple, теперь активно используется в атаках.
Отмеченная как CVE-2022-48618 и обнаруженная исследователями безопасности Apple, ошибка была раскрыта только 9 января в обновлении в «советах по безопасности» в декабре 2022 года.
Компания пока не раскрывает, была ли уязвимость также тихо исправлена более двух лет назад, когда впервые было выпущено рекомендательное письмо.
«Злоумышленник с возможностью чтения и записи может обойти аутентификацию. Apple известно, что эта проблема может быть использована в версиях iOS, выпущенных до iOS 15.7.1».
Эта уязвимость в системе неправильной аутентификации позволяет злоумышленникам обойти аутентификацию по указателю, функцию безопасности, предназначенную для блокирования атак, пытающихся использовать ошибки повреждения памяти.
Apple устранила недостаток, улучшив проверки на устройствах под управлением iOS 16.2, iPadOS 16.2, macOS Ventura, tvOS 16.2, а также на watchOS 9.2.
Список устройств, подверженных этой активно эксплуатируемой ошибке, довольно обширен и затрагивает как старые, так и новые модели, включая:
- начиная с iPhone 8, iPad Pro (все модели), с iPad Air 3-го поколения, с iPad mini 5-го
- компьютеры Mac под управлением macOS Ventura
- Apple TV 4K и Apple TV HD
- Apple Watch Series 4 и новее
Предписано исправить ошибку к 21 февраля
В то время как Apple еще не поделилась более подробной информацией об активной эксплуатации CVE-2022-48618 злоумышленниками, CISA внесла уязвимость в свой список Known Exploited Vulnerabilities Catalog.
Она также приказала федеральным агентствам США исправить ошибку к 21 февраля, как того требует обязательная оперативная директива (BOD 22-01), выпущенная в ноябре 2021 года.
На прошлой неделе Apple также выпустила обновления безопасности для исправления первой в этом году ошибки нулевого дня (CVE-2024-23222), используемой WebKit, которую злоумышленники могли использовать для выполнения кода на уязвимых iPhone, Mac и телевизорах Apple TV.
В тот же день компания также выпустила исправления для старых моделей iPhone и iPad, исправив еще две ошибки нулевого дня WebKit, отслеживаемые как CVE-2023-42916 и CVE-2023-42917 и исправленные в ноябре для более новых устройств.
Комментарии (0)