Actualización de emergencia de Apple corrige día cero utilizado para atacar Mac y smartwatch

Los días cero son fallas de seguridad que el proveedor de software desconoce y aún no ha reparado. En los avisos de seguridad emitidos recientemente, Apple reveló que están al tanto de que este error de seguridad “puede haber sido explotado activamente”. La falla es un problema de escritura fuera de los límites (CVE-2022-22675) en […]

Los días cero son fallas de seguridad que el proveedor de software desconoce y aún no ha reparado.

En los avisos de seguridad emitidos recientemente, Apple reveló que están al tanto de que este error de seguridad “puede haber sido explotado activamente”.

La falla es un problema de escritura fuera de los límites (CVE-2022-22675) en AppleAVD (una extensión del kernel para la decodificación de audio y video) que permite que las aplicaciones ejecuten código arbitrario con privilegios del kernel.

El error fue informado por investigadores anónimos y Apple lo solucionó en macOS Big Sur 11.6., watchOS 8.6 y tvOS 15.5 con verificación de límites mejorada.

La lista de dispositivos afectados incluye Apple Watch Series 3 o posterior, Mac con macOS Big Sur, Apple TV 4K, Apple TV 4K (2da generación) y Apple TV HD.

Si bien la compañía reveló los informes de explotación activa, no publicó ninguna información adicional sobre estos ataques.

Al retener información, es probable que la empresa pretenda permitir que las actualizaciones de seguridad lleguen a la mayor cantidad posible de Apple Watch y Mac antes de que los atacantes detecten los detalles del día cero y comiencen a implementar exploits en otros ataques.

Aunque lo más probable es que este día cero solo se haya utilizado en ataques dirigidos, se recomienda instalar las actualizaciones de seguridad actuales de macOS y watchOS lo antes posible para bloquear los intentos de ataque.