Apple lanzó el jueves parches de emergencia para abordar dos fallas de día cero en sus sistemas operativos móviles y de escritorio que, según dijo, pueden haber sido explotados en la naturaleza.
Las deficiencias se han solucionado como parte de las actualizaciones de iOS y iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 y watchOS 8.5.1. Ambas vulnerabilidades se han informado a Apple de forma anónima.
Rastreado como CVE-2022-22675 , el problema se ha descrito como una vulnerabilidad de escritura fuera de los límites en un componente de decodificación de audio y video llamado AppleAVD que podría permitir que una aplicación ejecute código arbitrario con privilegios de kernel.
Apple dijo que el defecto se resolvió mejorando la verificación de límites, y agregó que es consciente de que «este problema puede haber sido explotado activamente».
La última versión de macOS Monterey, además de corregir CVE-2022-22675, también incluye la corrección de CVE-2022-22674 , un problema de lectura fuera de los límites en el módulo del controlador de gráficos Intel que podría permitir que un actor malicioso lea la memoria del kernel.
El error se «resolvió con una validación de entrada mejorada», señaló el fabricante del iPhone, una vez más afirmando que hay evidencia de explotación activa, mientras retiene detalles adicionales para evitar más abusos.
Las últimas actualizaciones elevan a cuatro el número total de días cero activamente explotados parcheados por Apple desde el comienzo del año, sin mencionar una falla divulgada públicamente en la API de IndexedDB (CVE-2022-22594), que podría ser un arma maliciosa. sitio web para rastrear la actividad en línea de los usuarios y las identidades en el navegador web.
- CVE-2022-22587 (IOMobileFrameBuffer): una aplicación maliciosa puede ejecutar código arbitrario con privilegios de kernel
- CVE-2022-22620 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
A la luz de la explotación activa de las fallas, se recomienda encarecidamente a los usuarios de Apple iPhone, iPad y Mac que actualicen a las últimas versiones del software lo antes posible para mitigar las posibles amenazas.
Las actualizaciones de iOS y iPad están disponibles para iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores, y iPod touch (7.ª generación).
Fuente: https://thehackernews.com
