Компания Apple выпустила первые патчи в 2022 году и исправила две уязвимости нулевого дня, информация об одной из которых уже была свободно доступна в сети, а другая использовалась злоумышленниками для взлома iPhone и Mac.
Первый 0-day отслеживается под идентификатором CVE-2022-22587 (1, 2) и представляет собой ошибку повреждения информации в памяти в IOMobileFrameBuffer. Баг влияет на iOS (iPhone 6s и новее), iPadOS (все модели iPad Pro, iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch 7-го поколения), а также macOS Monterey. Успешная эксплуатация этой ошибки приводит к выполнению произвольного кода с привилегиями ядра на скомпрометированных устройствах.
В компании отмечают, что эта проблема, похоже, уже использовалась злоумышленниками для атак.
Интересно, что уязвимость была обнаружена сразу двумя ИБ-исследователями, и они сообщили журналистам издания Bleeping Computer, что они оба нашли ошибку независимо друг от друга и не знали, что она уже используется для атак.
Второй нулевой день представляет собой баг в Safari WebKit в iOS и iPadOS. Он позволяет сайтам отслеживать активность пользователей в интернете и приводит к раскрытию их личности. Проблема была обнаружена компанией FingerprintJS, которая занимается разработкой ПО для защиты от мошенничества.