Apple naprawia dziewiąte krytyczne zagrożenie zero-day w tym roku

Apple opublikowało poprawkę dla kolejnej nowej luki zero-day, która jest aktywnie wykorzystywana na świecie — zwiększając całkowitą liczbę załatanych tego typu błędów do dziewięciu w tym roku.

Dziura, odkryta zarówno w smartfonach, jak i tabletach Apple, opisywana jest jako błąd typu out-of-bounds write, który może zostać wykorzystany przez hakerów do uruchomienia dowolnego kodu z uprawnieniami jądra na podatnych punktach końcowych, luka ta jest obecnie oznaczona jako CVE-2022-42827.

Luka została zgłoszona do Apple anonimowo, jak donosi Security Affairs, i naprawiona poprzez poprawione sprawdzanie połączeń dla iOS 16.1 i iPadOS 16.

„Apple jest świadome raportu, że ten problem mógł zostać aktywnie wykorzystany” czytamy w poradniku bezpieczeństwa Apple’a.

Użytkownicy posiadający smartfon iPhone 8 i nowszy, dowolny model iPada Pro, iPada Air 3. generacji i nowszy, iPada 5. generacji i nowszy lub iPada mini 5. generacji i nowszy powinni natychmiast zastosować najnowsze aktualizacje, gdyż są one podatne na ten zero-day.

Jest to dziewiąta luka zero-day, którą Apple załatało w tym roku, po załataniu dwóch w styczniu (CVE-2022-22587 i CVE-2022-22594), jednej w lutym (CVE-2022-22620), dwóch w marcu (CVE-2022-22674 i CVE-2022-22675), jednej w maju (CVE-2022-22675), jednej w sierpniu (CVE-2022-32894) i jednej we wrześniu (CVE-2022-32917).

CVE-2022-32917, załatany w zeszłym miesiącu, pozwala złośliwym aplikacjom na wykonanie dowolnego kodu z uprawnieniami jądra tak jak ten najnowszy zero-day. Ten również został naprawiony dzięki poprawionym kontrolom krańcowym.