Apple ha pubblicato un aggiornamento di sicurezza per il bug CVE-2022-22675 relativo sia a macOS sia a iOS e un altro per la vulnerabilità di macOS CVE-2022-22674 la cui scoperta, come riporta Threatpost, è stata attribuita a un anonimo ricercatore.
Il primo si trova nel componente di decodifica audio e video AppleAVD e rende possibile che un’applicazione esegua del codice arbitrario con privilegi del kernel. CVE-2022-22674 è invece correlato al driver grafico Intel di macOS e potrebbe consentire a delle applicazioni di leggere la memoria del kernel.
Secondo Apple potrebbero entrambi già essere stati sfruttati da cyber criminali e l’azienda suggerisce ai suoi clienti di aggiornare il prima possibile i dispositivi.
Queste due vulnerabilità portano a cinque il numero di bug zero-day per cui l’azienda ha pubblicato una patch quest’anno, il che fa pensare che nel 2022 potrebbe raggiungere o superare il numero di vulnerabilità risolte l’anno scorso, che è stato di 12. A riportarlo sono i ricercatori dell’area sicurezza di Google, che rendono disponibile un elenco delle vulnerabilità zero-day divise per produttore.
In gennaio Apple ha pubblicato la patch per il bug CVE-2022-22587 nell’estensione del kernel IOMobileFrameBuffer che rendeva possibile l’esecuzione di codice remoto in iOS, iPadOS e macOS Monterey.
MacOS Monterey 12.2 e iOS/iPadOS 15.3 hanno inoltre risolto il bug del browser Safari CVE-2022-22594 che poteva consentire a un sito visitato di raccogliere informazioni sulle altre schede aperte dall’utente in macOS, iOS e iPadOS.
A febbraio Apple ha inoltre risolto il bug CVE-2022-22620 che permetteva ai pirati di eseguire codice arbitrario sui dispositivi compromessi per aver eseguito contenuti web malevoli.
