Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Агентство кибербезопасности и инфраструктурной безопасности США (CISA) в среду добавило уязвимость высокой степени серьезности, влияющую на iOS, iPadOS, macOS, tvOS и watchOS, в свой каталог известных эксплуатируемых уязвимостей (KEV) на основании свидетельств активного использования.
Уязвимость, отслеживаемая как CVE-2022-48618 (оценка CVSS: 7,8), связана с ошибкой в компоненте ядра.
"Злоумышленник с возможностью произвольного чтения и записи может обойти аутентификацию по указателю", - говорится в сообщении Apple, добавляя, что проблема "могла быть использована в версиях iOS, выпущенных до iOS 15.7.1".
Производитель iPhone заявил, что проблема была устранена с помощью улучшенных проверок. В настоящее время неизвестно, как уязвимость используется в реальных атаках.
Интересно, что исправления для этой уязвимости были выпущены 13 декабря 2022 года вместе с выпуском iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 и watchOS 9.2, хотя публично об этом стало известно только более чем через год, 9 января 2024 года.
Стоит отметить, что Apple устранила аналогичную ошибку в ядре (CVE-2022-32844, оценка CVSS: 6.3) в iOS 15.6 и iPadOS 15.6, которые были отправлены 20 июля 2022 года.
"Приложение с возможностью чтения и записи в произвольном ядре может быть способно обойти аутентификацию по указателю", - заявили тогда в компании. "Логическая проблема была устранена с помощью улучшенного управления состоянием".
В свете активного использования CVE-2022-48618 CISA рекомендует федеральным учреждениям гражданской исполнительной власти (FCEB) применить исправления к 21 февраля 2024 года.
Разработка также включает в себя исправления для активно используемой уязвимости безопасности в движке браузера WebKit (CVE-2024-23222, оценка CVSS: 8,8), включающие гарнитуру Apple Vision Pro. Исправление доступно в visionOS 1.0.2.
Уязвимость, отслеживаемая как CVE-2022-48618 (оценка CVSS: 7,8), связана с ошибкой в компоненте ядра.
"Злоумышленник с возможностью произвольного чтения и записи может обойти аутентификацию по указателю", - говорится в сообщении Apple, добавляя, что проблема "могла быть использована в версиях iOS, выпущенных до iOS 15.7.1".
Производитель iPhone заявил, что проблема была устранена с помощью улучшенных проверок. В настоящее время неизвестно, как уязвимость используется в реальных атаках.
Интересно, что исправления для этой уязвимости были выпущены 13 декабря 2022 года вместе с выпуском iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 и watchOS 9.2, хотя публично об этом стало известно только более чем через год, 9 января 2024 года.
Стоит отметить, что Apple устранила аналогичную ошибку в ядре (CVE-2022-32844, оценка CVSS: 6.3) в iOS 15.6 и iPadOS 15.6, которые были отправлены 20 июля 2022 года.
"Приложение с возможностью чтения и записи в произвольном ядре может быть способно обойти аутентификацию по указателю", - заявили тогда в компании. "Логическая проблема была устранена с помощью улучшенного управления состоянием".
В свете активного использования CVE-2022-48618 CISA рекомендует федеральным учреждениям гражданской исполнительной власти (FCEB) применить исправления к 21 февраля 2024 года.
Разработка также включает в себя исправления для активно используемой уязвимости безопасности в движке браузера WebKit (CVE-2024-23222, оценка CVSS: 8,8), включающие гарнитуру Apple Vision Pro. Исправление доступно в visionOS 1.0.2.
