El jueves Apple publicó parches (iOS 15.4.1 and iPadOS 15.4.1) para dos Zero-Days que afectan a macOS e iOS. Estas vulnerabilidades probablemente estén bajo explotación activa y podrían permitir que un actor de amenazas interrumpa o acceda a la actividad del kernel.
Apple lanzó actualizaciones de seguridad separadas para los errores: una vulnerabilidad que afecta tanto a macOS como a iOS identificada como CVE-2022-22675 y una falla de macOS identificada como CVE-2022-22674. Su descubrimiento fue atribuido a un investigador anónimo.
Según el aviso, el CVE-2022-22675, que se encuentra en el componente AppleAVD presente tanto en macOS como en iOS, podría permitir que una aplicación ejecute código arbitrario con privilegios de Kernel.
“Se solucionó un problema de escritura fuera de los límites mejorando la verificación de los límites”, según el aviso. “Apple está al tanto de un informe de que este problema puede haber sido explotado activamente”.
CVE-2022-22674 se describe en el aviso como un “problema de lectura fuera de los límites” en el controlador de gráficos Intel de macOS que podría permitir que una aplicación lea la memoria del kernel. Apple abordó el error, que también puede haber sido explotado activamente, con una validación de entrada mejorada, dijo la compañía.
Como es habitual, Apple no reveló más detalles sobre los problemas y qué vulnerabilidades pueden estar ocurriendo. No lo hará hasta que complete su investigación de las vulnerabilidades, según el aviso. Sin embargo, se insta a los clientes a actualizar los dispositivos lo antes posible para corregir los errores.
Según los investigadores de seguridad de Google, que mantiene una hoja de cálculo de fallas de Zero-Day categorizadas por vendedor, estas fallas representa la cuarta y quinta vulnerabilidades Zero-Day parcheadas por Apple este año. Ese número se está encaminando a superar las Zero-Day del año pasado, que fue de 12.
Para comenzar 2022, en enero, Apple corrigió dos errores de día cero, uno en los sistemas operativos de sus dispositivos y otro en el motor WebKit en la base de su navegador Safari. Luego, en febrero, Apple arregló otro error de WebKit explotado activamente, un problema de uso después de la liberación que permitía a los actores de amenazas ejecutar código arbitrario en los dispositivos afectados después de procesar contenido web creado con fines malintencionados.
El año pasado, la compañía lidió con una serie de días cero de WebKit, así como con otras soluciones clave que requerían actualizaciones de emergencia para sus diversos sistemas operativos, según la hoja de cálculo de Google.
Una de esas fallas estuvo en el centro de una de las mayores controversias de seguridad del año: una vulnerabilidad de Zero-click dirigida a iMessage denominada “ForcedEntry” que supuestamente explotó el software espía Pegasus de NSO Group para espiar a activistas y periodistas. La situación finalmente llevó a que la subsidiaria de Facebook/Meta, WhatsApp, así como Apple,tomaran acciones legales contra la compañía con sede en Israel.
Se recomienda actualizar a iOS 15.4.1 and iPadOS 15.4.1.
Fuente: https://blog.segu-info.com.ar/2022/04/aluvion-de-zero-days-para-macos-e-ios.html