Apple не виправила критичні баги у старих macOS — під загрозою 40% користувачів

1 квітня розробники Apple оперативно випустили патчі, щоб усунути дві критичн 0day-уразливост, які могли використовувати для дистанційної компрометації пристроїв, що працюють під керуванням iOS, iPadOS та macOS. З усім тим через пару днів виявилося, що закриті дірки тільки в останніх версіях ОС компанії, а понад 40% пристроїв, що використовуються, залишаються вразливими до вже використовуваних експлойтів.

У чому проблема

 Раніше виявили дві критичні вразливості:

• CVE-2022-22675: представляє вразливість типу порушення меж запису (out-of-bounds), виявили ​в коді дефолтного для системи медіадекодера AppleAVD. Баг дозволяє програмам виконувати довільний код із привілеями ядра.
• CVE-2022-22674: помилка також пов’язана з out-of-bounds, тільки в Intel Graphics Driver, що в результаті дозволяє програмам зчитувати пам’ять ядра.

Розробники пояснили, що в першому випадку баг усунули шляхом запровадження покращеної перевірки кордонів. У другому випадку проблему виправили з допомогою покращеної валідації введення. Також компанія має докази активної експлуатації обох вразливостей зловмисниками, але всі подробиці вона навмисно приховує, щоб уникнути активнішого використання цих «дірок».

Чому небезпека зберігається

Експерт з безпеки Джошуа Лонг з компанії Intego (провідної компанії з безпеки продуктів Apple) докладно пояснює, що помилка AppleAVD залишилася невиправленою в macOS Big Sur (Catalina не схильна до цієї проблеми). Друга вразливість, згідно з аналізом експерта, впливає як на Big Sur, так і на Catalina. Але проблема в тому, що обидві згадані MacOS залишилися без патчів.

Експерти дивуються ситуації, що виникла — підтримка macOS Catalina повинна припинитися приблизно в листопаді 2022 року, а macOS Big Sur — у листопаді 2023 року. Зазвичай Apple підтримує не тільки активний реліз macOS, але й публікує оновлення для двох попередніх релізів ОС. За словами експертів, це перший випадок, коли Apple проігнорувала оновлення ОС, що офіційно підтримуються, що досить незвичайно.

Джошуа Лонг пояснює:

«Це перший випадок як мінімум з моменту релізу macOS Monterey, коли Apple нехтує виправленням вразливостей, що активно експлуатуються, для Big Sur і Catalina. Наприклад, попередні три вразливості, що активно експлуатували, усунули одночасно для Monterey, Big Sur і Catalina».

Ситуацію, коли постачальник навмисно вирішує не випускати патчі, називають «вічною 0day-уразливістю». На цей час залишилися вразливими приблизно 40% користувачів macOS. Враховуючи, що застарілий парк техніки Apple характерний більше для країн другого світу, значна частина вразливих зараз систем зосереджена в країнах Азії та СНД.