Apple heeft beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in iOS en macOS. De kwetsbaarheid bevindt zich in IOMobileFrameBuffer, een kernel-extensie waarmee ontwikkelaars kunnen bepalen hoe het systeemgeheugen wordt gebruikt voor de schermweergave.
Via het beveiligingslek, aangeduid als CVE-2022-22587, kan een malafide app willekeurige code met kernelrechten uitvoeren. Vorig jaar werden twee kwetsbaarheden in IOMobileFrameBuffer voor zeroday-aanvallen gebruikt. Apple geeft geen verdere details over de aanvallen. Wel heeft het techbedrijf de invoervalidatie van het kwetsbare onderdeel verbeterd.
Het zerodaylek werd door drie verschillende onderzoekers aan Apple gerapporteerd. Eén van deze onderzoekers, Meysam Firouzi, meldt dat hij het lek zo'n drie maanden geleden aan het Zero Day Initiative (ZDI) had gemeld, maar pas na twee maanden een reactie kreeg. Het ZDI beloont onderzoekers voor het melden van kwetsbaarheden. Firouzi besloot zijn bugmelding uiteindelijk in te trekken en het probleem direct aan Apple te rapporteren.
De tweede onderzoeker die het lek aan Apple meldde, Siddharth Aeri, stelt dat hij proof-of-concept exploitcode voor de kwetsbaarheid al op 1 januari van dit jaar op GitHub had geplaatst. Apple adviseert gebruikers om te updaten naar iOS 15.3, iPadOS 15.3 en macOS Monterey 12.2.
Deze posting is gelocked. Reageren is niet meer mogelijk.