Apple kwam op 31 maart met een beveiligingsupdate voor twee actief aangevallen zerodaylekken in macOS Monterey. Eén van de kwetsbaarheden is ook aanwezig in macOS Big Sur en nog altijd niet door Apple verholpen, zo melden beveiligingsonderzoeker Mickey Jin van antivirusbedrijf Trend Micro en securitybedrijf Intego. De tweede zeroday zou mogelijk in zowel Big Sur als Catalina aanwezig zijn, maar dat is nog niet bevestigd.

De beveiligingslekken bevinden zich in AppleAVD, een framework voor het decoderen van audio en video, en een grafische driver van Intel. De kwetsbaarheid in AppleAVD laat een applicatie willekeurige code met kernelrechten uitvoeren. Via het lek in de Intel-driver kan een applicatie kernelgeheugen uitlezen. Beide beveiligingslekken zijn niet voldoende om een systeem op afstand aan te vallen. Om de kwetsbaarheden te kunnen gebruiken moet een aanvaller al toegang tot het systeem hebben.

Vorige week meldde Jin dat het lek in AppleAVD ook aanwezig is in M1-Macs die Big Sur draaien. Iets dat ook Intego heeft bevestigd. Het securitybedrijf stelt dat het "zeer waarschijnlijk" is dat het lek in de Intel-driver zowel Big Sur als Catalina raakt, maar dat is nog niet bevestigd. "Het is de eerste keer sinds de lancering van Monterey dat Apple heeft nagelaten om actief aangevallen kwetsbaarheden in Big Sur en Catalina te verhelpen", zegt onderzoeker Joshua Long van Intego.

Apple heeft nog geen reactie op de berichtgeving gegeven en het is ook onbekend of het bedrijf updates voor Big Sur en Catalina zal uitbrengen. Beide besturingssystemen worden nog wel ondersteund en ontvingen op 14 maart nog patches voor andere kwetsbaarheden.