Apple has released emergency security updates today to fix two zero-day vulnerabilities previously exploited by attackers to hack iPhones, iPads, or Macs.

Zero-day vulnerabilities are security flaws known by attackers or researchers before the software vendor has become aware or been able to patch them. In many cases, zero-days have public proof-of-concept exploits or are actively exploited in attacks.Today, Apple has released macOS Monterey 12.5.1 and iOS 15.6.1/iPadOS 15.6.1 to resolve two zero-day vulnerabilities that are reported to have been actively exploited.

The two vulnerabilities are the same for all three operating systems, with the first tracked as CVE-2022-32894. This vulnerability is an out-of-bounds write vulnerability in the operating system's Kernel.

The kernel is a program that operates as the core component of an operating system and has the highest privileges in macOS, iPadOS, and iOS.

An application, such as malware, can use this vulnerability to execute code with Kernel privileges. As this is the highest privilege level, a process would be able to perform any command on the device, effectively taking complete control over it.

The second zero-day vulnerability is CVE-2022-32893 and is an out-of-bounds write vulnerability in WebKit, the web browser engine used by Safari and other apps that can access the web.

Apple says this flaw would allow an attacker to perform arbitrary code execution and, as it's in the web engine, could likely be exploited remotely by visiting a maliciously crafted website.

تم الإبلاغ عن الأخطاء بواسطة باحثين مجهولين وتم إصلاحها بواسطة Apple في iOS 15.6.1 و iPadOS 15.6.1 و macOS Monterey 12.5.1 مع تحسين الحدود للتحقق من كلا الخطأين.

قائمة الأجهزة المتأثرة بكلتا الثغرات الأمنية هي:

أجهزة Mac التي تعمل بنظام macOS Monterey

iPhone 6s والإصدارات الأحدث

iPad Pro (جميع الطرز) و iPad Air 2 والإصدارات الأحدث و iPad من الجيل الخامس والإصدارات الأحدث و iPad mini 4 والإصدارات الأحدث و iPod touch (الجيل السابع).

كشفت شركة آبل عن استغلال نشط في البرية ، لكنها لم تنشر أي معلومات إضافية بخصوص هذه الهجمات.

على الأرجح ، تم استخدام أيام الصفر هذه فقط في الهجمات المستهدفة ، ولكن لا يزال يُنصح بشدة بتثبيت تحديثات الأمان اليوم في أقرب وقت ممكن.

سبعة أيام صفر مصححة من قبل Apple هذا العام

في شهر مارس ، قامت شركة Apple بتصحيح اثنين من الأخطاء الأخرى التي تم استخدامها في برنامج تشغيل الرسومات Intel (CVE-2022-22674) و AppleAVD (CVE-2022-22675) والتي يمكن استخدامها أيضًا لتنفيذ التعليمات البرمجية بامتيازات Kernel.

في كانون الثاني (يناير) ، قامت Apple بتصحيح اثنين أكثر فاعلية لاستغلال أيام الصفر مما مكّن المهاجمين من تنفيذ تعليمات برمجية عشوائية بامتيازات kernel (CVE-2022-22587) وتتبع نشاط تصفح الويب وهويات المستخدمين في الوقت الفعلي (CVE-2022-22594) ).

في فبراير ، أصدرت Apple تحديثات أمنية لإصلاح خطأ جديد في يوم الصفر تم استغلاله لاختراق أجهزة iPhone و iPad و Mac ، مما أدى إلى تعطل نظام التشغيل وتنفيذ التعليمات البرمجية عن بُعد على الأجهزة المخترقة بعد معالجة محتوى الويب الضار.

تعليقات عرض

قصص شعبية

مقال شعبي

تحديث KB5012170 لنظام التشغيل Windows تسبب في ظهور شاشات استرداد BitLocker ومشكلات التمهيد

مقال شعبي

استغلال عيب Realtek الحرج الذي يؤثر على العديد من أجهزة الشبكات