manzana el miércoles publicado iOS 15.3 y macOS Monterey 12.2 con una solución para el error que anula la privacidad en Safari, además de contener una falla de día cero, que dijo que ha sido explotada en la naturaleza para entrar en sus dispositivos.
rastreado como CVE-2022-22587la vulnerabilidad se relaciona con un problema de corrupción de memoria en el componente IOMobileFrameBuffer que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel.
El fabricante de iPhone dijo que está «al tanto de un informe de que este problema puede haber sido explotado activamente», y agregó que abordó el problema con una validación de entrada mejorada. No reveló la naturaleza de los ataques, qué tan extendidos están o las identidades de los actores de amenazas que los explotan.
A un investigador anónimo junto con Meysam Firouzi y Siddharth Aeri se les atribuye el descubrimiento y la notificación de la falla.
CVE-2022-22587 es la tercera vulnerabilidad de día cero descubierta en IOMobileFrameBuffer en un lapso de seis meses después de CVE-2021-30807 y CVE-2021-30883. En diciembre de 2021, Apple resolvió cuatro debilidades adicionales en la extensión del kernel que se usa para administrar el búfer de cuadros de la pantalla.
El gigante de la tecnología también solucionó una vulnerabilidad recientemente revelada en Safari que se derivó de una implementación defectuosa del API de base de datos indexada (CVE-2022-22594), que podría ser abusado por un sitio web malicioso para rastrear la actividad en línea de los usuarios en el navegador web e incluso revelar su identidad.
Otros defectos notables incluyen:
- CVE-2022-22584 – Un problema de corrupción de memoria en ColorSync que puede conducir a la ejecución de código arbitrario al procesar un archivo malicioso.
- CVE-2022-22578 – Un problema de lógica en Crash Reporter que podría permitir que una aplicación maliciosa obtenga privilegios de root
- CVE-2022-22585 – Un problema de validación de ruta en iCloud que podría ser explotado por una aplicación no autorizada para acceder a los archivos de un usuario
- CVE-2022-22591 – Un problema de corrupción de memoria en el controlador de gráficos Intel que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel
- CVE-2022-22593 – Un problema de desbordamiento de búfer en Kernel que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel
- CVE-2022-22590 – Un problema de uso después de la liberación en WebKit que puede conducir a la ejecución de código arbitrario al procesar contenido web creado con fines maliciosos
El actualizaciones están disponibles para iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores, iPod touch (7.ª generación) y dispositivos macOS en ejecución Sur grande, Catalinay Monterrey.
