Af Eskil Sørensen, 14/11/22
Apple har udsendt patches uden for den normale opdateringscyklus for at håndtere sårbarheder i iOS og macOS. Det skriver bl.a. Security Affairs. Der er tale om to fejl i libxml2-biblioteket til parsing af XML-dokumenter. Udnyttelse kan medføre, at en fjernangriber kan forårsage nedlukning af en app eller afvikling af vilkårlig kode.
Fejlene har id’erne CVE-2022-40303 og CVE-2022-40304 og har fået risiko-prædikatet ’high’.
Med opdateringerne installeret får produkterne følgende versionsnumre: macOS Ventura 13.0.1, iOS 16.1.1 og iPadOS 16.1.1.
Apple er ikke bekendt med evt. udnyttelse af sårbarhederne in-the-wild, men en proof-of-concept kode til CVE-2022-40303 skulle være tilgængelig online.
Links:
https://nakedsecurity.sophos.com/2022/11/10/emergency-code-execution-patch-from-apple-but-not-an-0-day/
https://www.securityweek.com/apple-patches-remote-code-execution-flaws-ios-macos
https://securityaffairs.co/wordpress/138355/security/apple-out-of-band-patches.html