Een week nadat Apple twee actief aangevallen zerodaylekken in macOS Monterey verhielp zijn de problemen ook in macOS Big Sur opgelost. Apple kwam onder vuur te liggen omdat het wel een beveiligingsupdate voor Monterey had uitgebracht, maar niet voor Big Sur en macOS Catalina. De update voor Catalina zal naar verwachting morgen verschijnen, meldt Macworld.

De beveiligingslekken bevinden zich in AppleAVD, een framework voor het decoderen van audio en video, en een grafische driver van Intel. De kwetsbaarheid in AppleAVD laat een applicatie willekeurige code met kernelrechten uitvoeren. Via het lek in de Intel-driver kan een applicatie kernelgeheugen uitlezen. Beide beveiligingslekken zijn niet voldoende om een systeem op afstand aan te vallen. Om de kwetsbaarheden te kunnen gebruiken moet een aanvaller al toegang tot het systeem hebben.

Beveiligingsonderzoeker Mickey Jin van antivirusbedrijf Trend Micro en securitybedrijf Intego hadden al vastgesteld dat het lek in AppleAVD ook aanwezig is in Big Sur. Dat blijkt nu ook voor de tweede kwetsbaarheid te gelden die in de Intel-driver aanwezig is. Gebruikers van Big Sur kunnen updaten naar versie 11.6.6. Voor macOS Catalina zou morgen Security Update 2022-004 moeten verschijnen.