Apple lanzó el jueves correcciones para dos vulnerabilidades críticas de día cero en el iPhone, iPad y Mac que brindan a los piratas informáticos acceso peligroso a las partes internas de los sistemas operativos de hardware en los que se ejecutan los dispositivos.
Apple le dio crédito a un investigador anónimo por descubrir ambas vulnerabilidades. La primera vulnerabilidad, CVE-2022-22675, está en macOS para Monterey y en iOS o iPadOS para la mayoría de los modelos de iPhone y iPad. La falla, que surge de un problema de escritura fuera de los límites, brinda a los piratas informáticos la capacidad de ejecutar código malicioso que se ejecuta con privilegios de kernel, el área más sensible a la seguridad del sistema operativo. Al mismo tiempo, CVE-2022-22674 también genera un problema de lectura fuera de los límites que puede conducir a la detección de la memoria del kernel.
Apple reveló detalles precisos de los defectos aquí Y el aquí. La compañía escribió sobre ambas vulnerabilidades: “Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”.
lloviendo manzana cero dias
CVE-2022-22674 y CVE-2022-22675 son el cuarto y quinto día cero que Apple corrige este año. En enero, la empresa lanzó rápidamente parches para iOS, iPadOS, macOS Monterey, watchOS, tvOS y HomePod. Solucione el error de corrupción de memoria de día cero Puede dar a los explotadores la capacidad de ejecutar código con privilegios de kernel. El error, que se rastrea como CVE-2022-22587, está en IOMobileFrameBuffer. Una vulnerabilidad separada, CVE-2022-22594, hizo posible que los sitios web rastreen información confidencial del usuario. El código de explotación de esta vulnerabilidad se hizo público antes del lanzamiento del parche.
Apple en febrero impulsó una solución para Usar después de libre de errores En el motor del navegador Webkit que les dio a los atacantes la capacidad de ejecutar código malicioso en iPhones, iPads e iTouches. Apple dijo que los informes que ha recibido indican que la vulnerabilidad, CVE-2022-22620, puede haber sido explotada activamente.
a Tabla Los investigadores de seguridad de Google realizan un seguimiento de los días cero que muestran que Apple solucionó un total de 12 de estas vulnerabilidades en 2021. Entre ellas, se encontraba una falla en iMessage que el marco de spyware Pegasus estaba atacando con Explotar los clics cero, lo que significa que los dispositivos fueron infectados tan pronto como recibieron un mensaje malicioso, sin requerir ninguna acción por parte del usuario. Día cero esa manzana corregido en mayo Hizo posible que los atacantes infectaran dispositivos completamente actualizados.