Apple bracht woensdag een beveiligingsupdate uit voor de nieuwste versies van iOS, iPadOS en macOS. De drie respectievelijke updates bevatten dezelfde bugfixes, namelijk het verhelpen van twee kwetsbaarheid omtrent libxml2. De updates zijn nu beschikbaar.
De beveiligingsupdates met de noemers iOS 16.1.1, iPadOS 16.1.1 en macOS Ventura 13.0.1 zijn beschikbaar voor iPhone 8 en nieuwer, alle iPad Pros, iPad Air 3 en nieuwer, iPad of iPad mini van de vijfde generatie en nieuwer en Mac-systemen met Ventura. Volgens Apple zijn de kwetsbaarheden met de namen CVE-2022-40303 en CVE-2022-40304 met de updates verholpen. In beide gevallen kon er een remote code execution-aanval uitgevoerd worden vanwege een probleem met de libxml2-bibliotheek, gebruikt voor het verwerken van xml-documenten. De kwetsbaarheden werden door onderzoekers van Google Project Zero ontdekt en aan Apple gemeld. Voor zover bekend zijn de kwetsbaarheden niet daadwerkelijk gebruikt voor cyberaanvallen.
CVE-2022-40303 werd veroorzaakt door een integer overflow. Bij een dergelijk scenario probeert het besturingssysteem een numerieke waarde te genereren die niet binnen het bereik van de betreffende toepassing valt. Volgens Apple is er een verbetering aan de validatie van input doorgevoerd waardoor hiermee geen remote code execution meer uitgevoerd kan worden. De aanpak van de CVE-2022-40304-kwetsbaarheid wordt in de updatebeschrijving niet nader toegelicht; er staat alleen dat het besturingssysteem voortaan verbeterde controles uitvoert.
Update, 18.50 uur: De bewoording in het oorspronkelijke bericht suggereerde dat er updates voor de vermelde versienummers werden uitgebracht. Het gaat daarentegen om de desbetreffende versienummers. Het artikel is daarop aangescherpt.