Tot 40% Mac-gebruikers kwetsbaar door kritieke fouten in macOS

Het gaat om fouten in AppleAVD - gevolgd onder CVE-2022-22675 - en een Intel Graphics-fout die gevolgd wordt onder CVE-2022-22674. De fout in AppleAVD zorgt ervoor dat aanvallers code met kernelrechten uit kunnen voeren. De fout in Intel Graphics maakt het mogelijk om het kernelgeheugen uit te lezen.

Volgens security-analist Joshua Long van Intego is het voor het eerst sinds het verschijnen van macOS Monterey dat Apple geen patches uitrolt voor actief misbruikte kwetsbaarheden in Big Sur (macOS 11) en Catalina (macOS 10.15). Drie eerder gevonden kwetsbaarheden werden namelijk tegelijkertijd van patches voor de drie versies van macOS voorzien. 

Catalina niet door beide geraakt

Intego benadrukt dat wel Catalina -de oudste van de drie macOS-versies- slechts voor één van de twee fouten kwetsbaar is. AppleAVD zit namelijk niet in die versie van macOS, waardoor Catalina niet getroffen wordt door CVE-2022-2675. Big Sur wordt dat echter wel, en ook dit besturingssysteem heeft nog geen patch ontvangen. "Het blijft een mysterie waarom Apple Big Sur ogenschijnlijk expres kwetsbaar heeft gelaten voor de actief misbruikte kwetsbaarheid", aldus Long in zijn blogbericht. 

De andere fout, CVE-2022-22674, raakt waarschijnlijk wel beide oudere versies van macOS, zegt Long. Waarom de besturingssystemen geen patches hebben ontvangen voor de problemen, is onbekend. Apple heeft daar nog geen reactie over gegeven. Ook is niet duidelijk of er later eventueel alsnog een patch volgt.