Apple emite parches para 2 dispositivos Zero-Day explotados activamente en dispositivos iPhone, iPad y Mac

Apple emite parches para 2 dispositivos Zero-Day explotados activamente en dispositivos iPhone, iPad y Mac Noticias

Apple lanzó el jueves parches de emergencia para abordar dos fallas de día cero en su móvil y sistemas operativos de escritorio que dijo que puede haber sido explotado en la naturaleza.

Las deficiencias se han solucionado como parte de las actualizaciones de iOS y iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1 y watchOS 8.5.1. Ambas vulnerabilidades se han informado a Apple de forma anónima.

rastreado como CVE-2022-22675el problema ha sido descrito como un escritura fuera de límites vulnerabilidad en un componente de decodificación de audio y video llamado AppleAVD que podría permitir que una aplicación ejecute código arbitrario con privilegios de kernel.

Apple dijo que el defecto se resolvió mejorando la verificación de límites, y agregó que es consciente de que «este problema puede haber sido explotado activamente».

La última versión de macOS Monterey, además de corregir CVE-2022-22675, también incluye la corrección de CVE-2022-22674un lectura fuera de límites Problema en el módulo del controlador de gráficos Intel, lo que permite que un actor malicioso lea la memoria del kernel.

El error se «resolvió con una validación de entrada mejorada», señaló el fabricante del iPhone, una vez más afirmando que hay evidencia de explotación activa, mientras oculta detalles adicionales para evitar más abusos.

Las últimas actualizaciones elevan a cuatro el número total de días cero activamente explotados parcheados por Apple desde el comienzo del año, sin mencionar una falla divulgada públicamente en la API de IndexedDB (CVE-2022-22594), que podría ser abusada por un malicioso sitio web para rastrear la actividad en línea de los usuarios y las identidades en el navegador web.

  • CVE-2022-22587 (IOMobileFrameBuffer): una aplicación maliciosa puede ejecutar código arbitrario con privilegios de kernel
  • CVE-2022-22620 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario

A la luz de la explotación activa de las fallas, se recomienda encarecidamente a los usuarios de Apple iPhone, iPad y Mac que actualicen a las últimas versiones del software lo antes posible para mitigar las posibles amenazas.

Las actualizaciones de iOS y iPad están disponibles para iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores, y iPod touch (7.ª generación).

David
Rate author
Hackarizona