Apple bracht op 31 maart macOS Monterey 12.3.1 uit. Daarin repareerde het bedrijf twee zerodays. Zowel CVE-2022-22675 als CVE-2022-22654 werd volgens Apple actief misbruikt, maar er zijn geen details bekend over dat misbruik. De eerste kwetsbaarheid zit in AppleAVD. De out-of-bounds-write-kwetsbaarheid maakte het mogelijk om code met kernelrechten uit te voeren. De tweede kwetsbaarheid is iets minder ernstig. Het gaat om een kwetsbaarheid in de Intel Graphics-driver die het mogelijk maakt om het kernelgeheugen uit te lezen.
De kwetsbaarheden zijn gerepareerd in macOS Monterey, maar niet in oudere besturingssystemen, schrijft beveiligingsbedrijf Intego. Het bedrijf zegt dat de kwetsbaarheden in macOS 11, ofwel Big Sur, en in macOS 10.15, ofwel Catalina, zitten. Het eerste probleem van AppleAVD is alleen op Big Sur niet gepatcht. Catalina is niet door dat lek getroffen, omdat dat OS die component niet gebruikt. De Intel Graphics-bug treft zowel Big Sur als Catalina. Een onafhankelijke beveiligingsonderzoeker bevestigt dat de AppleAVD-kwetsbaarheid op in ieder geval Big Sur is uit te buiten. Volgens Intego probeert het bedrijf nog een proof-of-concept te maken van de andere kwetsbaarheid, maar dat is lastig omdat details over de bug anoniem bij Apple zijn aangedragen. Intego zegt ‘high confidence‘ te hebben dat CVE-2022-22654 zowel Big Sur als Catalina treft.
Apple heeft nog geen verklaring gegeven waarom het de bugs niet heeft gerepareerd. Het bedrijf komt de laatste jaren steeds vaker onder vuur te liggen door beveiligingsonderzoekers die kwetsbaarheden aandragen, maar die vervolgens niet of niet op tijd worden gerepareerd
bron: Tweakers.net