Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
07.04.2022

Apple исправила уязвимости 0-day в macOS Monterey, но не в Big Sur и Catalina

На прошлой неделе компания Apple исправила две активно эксплуатируемые хакерами уязвимости в macOS Monterey, но при этом оставила пользователей более старых версий своей десктопной ОС открытыми для атак.

Как сообщает ИБ-компания Intego, патчи исправляют уязвимости CVE-2022-22675 в AppleAVD и CVE-2022-22674 в Intel Graphics Driver в macOS Monterey, но они не были портированы на macOS Big Sur и macOS Catalina.

Уязвимость CVE-2022-22675 по-прежнему присутствует в macOS Big Sur, но отсутствует в Catalina, поскольку компонент для декодирования аудио- и видеосигнала AppleAVD в данной версии ОС не предусмотрен. Однако уязвимость в Intel Graphics затрагивает обе версии macOS.

Стоит отметить, что для Apple нехарактерно исправлять уязвимости в macOS Monterey, но оставлять их в Big Sur и Catalina. Раскрытые ранее три уязвимости, которые также активно эксплуатировались хакерами, были одновременно исправлены в Monterey, Big Sur и Catalina. Почему Apple решила в этот раз поступить иначе, непонятно.

В отличие от компании Microsoft, регулярно сообщающей об окончании жизненного цикла той или иной версии Windows, Apple уведомляет об устаревании аппаратного обеспечения, но ничего не говорит о прекращении поддержки macOS. В последнее время она поддерживала активный релиз macOS в течение года, одновременно публикуя обновления и для предыдущих двух версий.

Ожидается, что поддержка Big Sur закончится примерно в ноябре 2022 года, а Catalina – в ноябре 2023 года.

В настоящее время на базе уязвимых версий macOS работает 35-40% «маков».

Уязвимость в AppleAVD затрагивает «маки» с процессором M1, работающие под управлением macOS Big Sur, а также устройства под управлением iOS 14 и iPadOS 14, которые Apple перестала поддерживать в январе текущего года.

CVE-2022-22675 представляет собой уязвимость записи за пределами выделенной области памяти, позволяющую выполнять произвольный код с привилегиями ядра.

Проблема в Intel Graphics (CVE-2022-22674) представляет собой уязвимость чтения за пределами выделенной области памяти, позволяющую читать данные в памяти ядра.