Apple не исправила критические баги в старых macOS — под угрозой 40% пользователей

1 апреля разработчики Apple оперативно выпустили патчи, чтобы устранить две критические 0day-уязвимости, которые могли использовать для удаленной компрометации устройств, работающих под управлением iOS, iPadOS и macOS. Тем не менее через пару дней оказалось, что закрыты дыры только на самых последних версиях ОС компании, а более 40% используемых устройств остаются уязвимы к уже используемым эксплойтам.

В чем проблема

 Ранее обнаружили две критические уязвимости:

• CVE-2022-22675: представляет уязвимость типа нарушения границ записи (out-of-bounds), обнаружили в коде дефолтного для системы медиадекодера AppleAVD. Баг позволяет приложениям выполнять произвольный код с привилегиями ядра.
• CVE-2022-22674: ошибка также связана с out-of-bounds, только в Intel Graphics Driver, что в итоге позволяет приложениям считывать память ядра.

Разработчики объяснили, что в первом случае баг устранили путем внедрения улучшенной проверки границ. Во втором случае проблему исправили с помощью улучшенной валидации ввода. Также у компании есть доказательства активной эксплуатации обеих уязвимостей злоумышленниками, но все подробности она намеренно скрывает, чтобы избежать более активного использования этих «дырок».

Почему опасность сохраняется

Эксперт по безопасности Джошуа Лонг из компании Intego (ведущей компании по безопасности продуктов Apple) подробно объясняет, что ошибка AppleAVD осталась неисправленной в macOS Big Sur (Catalina не подвержена этой проблеме). Вторая уязвимость, согласно анализу эксперта, влияет как на Big Sur, так и на Catalina. Но проблема в том, что обе упомянутые macOS остались без патчей.

Эксперты удивляются возникшей ситуации — поддержка macOS Catalina должна прекратиться примерно в ноябре 2022 года, а macOS Big Sur — в ноябре 2023 года. Обычно Apple поддерживает не только активный релиз macOS, но также публикует обновления для двух предыдущих релизов ОС. По словам экспертов, это первый случай, когда Apple проигнорировала обновление официально поддерживаемых ОС, что довольно необычно.

Джошуа Лонг объясняет:

«Это первый случай как минимум с момента релиза macOS Monterey, когда Apple пренебрегает исправлением активно эксплуатируемых уязвимостей для Big Sur и Catalina. Например, предыдущие три активно эксплуатируемые уязвимости устранили одновременно для Monterey, Big Sur и Catalina».

Ситуацию, когда поставщик намеренно решает не выпускать патчи, называют «вечной 0day-уязвимостью». На данный момент остались уязвимы примерно 40% пользователей macOS. Учитывая, что устаревший парк техники Apple характерен больше для стран второго мира, значительная часть уязвимых сейчас систем сосредоточена в странах Азии и СНГ.