Apple lanza parches para dos zero-days que amenazan a usuarios de iOS y macOS

Apple lanzó el jueves correcciones para dos vulnerabilidades críticas de día cero en iPhones, iPads y Macs que permiten a los piratas informáticos acceder peligrosamente a las partes internas de los sistemas operativos en los que se ejecutan los dispositivos.

Apple atribuyó el descubrimiento de ambas vulnerabilidades a un investigador anónimo. La primera vulnerabilidad, CVE-2022-22675, está en macOS para Monterey y en iOS o iPadOS para la mayoría de los modelos de iPhone y iPad. La falla, que se deriva de un problema de escritura fuera de los límites, permite a los piratas informáticos ejecutar código malicioso que se ejecuta con privilegios del kernel, la región más sensible a la seguridad del sistema operativo. Mientras tanto, CVE-2022-22674 también resulta de un problema de lectura fuera de los límites que puede conducir a la exposición de la memoria del kernel.

Apple ha publicado detalles básicos de los errores aquí y aquí. «Apple está al tanto de un informe de que este problema puede haber sido explotado activamente», escribió la compañía sobre ambas vulnerabilidades.

Deja que llueva el día cero de Apple

CVE-2022-22674 y CVE-2022-22675 son el cuarto y quinto día cero que Apple parchó este año. En enero, la compañía se apresuró a lanzar parches para iOS, iPadOS, macOS Monterey, watchOS, tvOS y HomePod Software para corregir un error de corrupción de memoria de día cero que podría permitir a los atacantes ejecutar código con privilegios de kernel. El error rastreado como CVE-2022-22587 estaba en IOMobileFrameBuffer. Una vulnerabilidad separada, CVE-2022-22594, permitió que los sitios web rastrearan información confidencial del usuario. El código de explotación de esta vulnerabilidad se hizo público antes de que se lanzara el parche.

En febrero, Apple lanzó una solución para un error de uso posterior a la liberación en el motor del navegador Webkit que permitía a los atacantes ejecutar código malicioso en iPhones, iPads e iTouches. Apple dijo que los informes recibidos indicaron que la vulnerabilidad, CVE-2022-22620, también puede explotarse activamente.

Una tabla que mantienen los investigadores de seguridad de Google para rastrear los días cero muestra que Apple corrigió un total de 12 vulnerabilidades de este tipo en 2021. Entre ellos se encontraba un error en iMessage que el marco de software espía Pegasus atacó con un exploit de cero clic, lo que significa que los dispositivos se infectaron simplemente al recibir un mensaje malicioso, sin necesidad de que el usuario hiciera nada. Dos días cero parcheados por Apple en mayo permitieron a los atacantes infectar dispositivos de última generación.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

14 − ocho =