Apple heeft een actief aangevallen zerodaylek na twee weken ook in oudere iPhones en iPads verholpen. Op 17 augustus kwam het bedrijf met iOS 15.6.1 en iPadOS 15.6.1, waarmee twee zerodays werden verholpen. De eerste kwetsbaarheid, CVE-2022-32893, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Daarnaast maakt Safari op macOS gebruik van WebKit.

Door alleen een kwaadaardige of gecompromitteerde website te bezoeken of een besmette advertentie te zien kan een aanvaller willekeurige code op het systeem uitvoeren. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. De tweede kwetsbaarheid, CVE-2022-32894, is aanwezig in de kernel van iOS, iPadOS en macOS.

Dit beveiligingslek geeft een aanvaller die al toegang tot het systeem heeft, of een malafide applicatie, de mogelijkheid om kernelrechten te krijgen. Via alleen deze kwetsbaarheid is het niet mogelijk om systemen op afstand over te nemen, maar het is mogelijk om CVE-2022-32893 en CVE-2022-32894 te combineren. Daarmee krijgt een aanvaller volledige controle over het systeem.

Precies twee weken later heeft Apple het WebKit-lek (CVE-2022-32893) ook in oudere iPhones en iPads opgelost. Eigenaren van een iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 en iPod touch (zesde generatie) kunnen updaten naar iOS 12.5.6. Apple laat aanvullend weten dat het kernel-lek (CVE-2022-32894) niet in iOS 12 aanwezig is. Updaten kan via de updatefunctie van het toestel of iTunes.