Apple lanza actualizaciones de iOS y macOS para parchar una vulnerabilidad zero day explotada activamente

Apple lanzó recientemente el iOS 15.3 y macOS Monterey 12.2 con una solución para el error que anula la privacidad en Safari, así como para contener una falla de día cero, que anunciaron que ha sido explotada previamente. Rastreada como CVE-2022-22587, la vulnerabilidad se relaciona con un problema de corrupción de memoria en el componente […]

Apple lanzó recientemente el iOS 15.3 y macOS Monterey 12.2 con una solución para el error que anula la privacidad en Safari, así como para contener una falla de día cero, que anunciaron que ha sido explotada previamente.

Rastreada como CVE-2022-22587, la vulnerabilidad se relaciona con un problema de corrupción de memoria en el componente IOMobileFrameBuffer que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel.

El fabricante de iPhone dijo que está “al tanto de un informe de que este problema puede haber sido explotado activamente”, y agregó que abordó el problema con una validación de entrada mejorada. No reveló la naturaleza de los ataques, qué tan extendidos están o las identidades de los actores de amenazas que los explotan.

A un investigador anónimo junto con Meysam Firouzi y Siddharth Aeri se les atribuye el descubrimiento y la notificación de la falla.

CVE-2022-22587 es la tercera vulnerabilidad de día cero descubierta en IOMobileFrameBuffer en un lapso de seis meses, después de CVE-2021-30807 y CVE-2021-30883. En diciembre de 2021, Apple resolvió cuatro debilidades adicionales en la extensión del kernel que se usaba para administrar el búfer de cuadros de la pantalla.

La compañía tecnológica también solucionó una vulnerabilidad recientemente revelada en Safari que se originó de una implementación defectuosa de la API IndexedDB (CVE-2022-22594), que podría ser abusada por un sitio web malicioso para rastrear la actividad en línea de los usuarios en el navegador web y incluso revelar su identidad.

Otros defectos notables incluyen:

• CVE-2022-22584: un problema de corrupción de memoria en ColorSync que puede provocar la ejecución de código arbitrario al procesar un archivo creado con fines maliciosos.
• CVE-2022-22578: un problema de lógica en Crash Reporter que podría permitir que una aplicación maliciosa obtenga privilegios de root.
• CVE-2022-22585: un problema de validación de ruta en iCloud que podría ser explotado por una aplicación no autorizada para acceder a los archivos de un usuario.
• CVE-2022-22591: un problema de corrupción de memoria en el controlador de gráficos Intel que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel.
• CVE-2022-22593: un problema de desbordamiento de búfer en Kernel que podría ser abusado por una aplicación maliciosa para ejecutar código arbitrario con privilegios de kernel.
• CVE-2022-22590: un problema de uso después de la liberación en WebKit que puede conducir a la ejecución de código arbitrario al procesar contenido web creado con fines maliciosos.
• Las actualizaciones están disponibles para iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores, iPod touch (7.ª generación) y dispositivos macOS con Big Sur, Catalina y Monterrey.