A Apple lançou na quinta-feira correções para duas vulnerabilidades críticas de dia zero em dispositivos iPhone, iPad e Mac, que dão aos hackers acesso perigoso aos componentes internos dos sistemas operacionais em que os dispositivos são executados.
A Apple creditou a um pesquisador anônimo a descoberta de ambas as vulnerabilidades. A primeira vulnerabilidade, CVE-2022-22675, está no macOS para Monterey e no iOS ou iPadOS para a maioria dos modelos de iPhone e iPad. A falha, que decorre de um problema de escrita fora dos limites, dá aos hackers a capacidade de executar códigos maliciosos que são executados com privilégios de kernel, a área mais sensível à segurança do sistema operacional. Ao mesmo tempo, o CVE-2022-22674 também resulta em um problema de leitura fora dos limites que pode levar à detecção de memória do kernel.
Apple revelou detalhes precisos dos defeitos aqui E a aqui. A empresa escreveu sobre ambas as vulnerabilidades: “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”.
chovendo maçã zero dias
CVE-2022-22674 e CVE-2022-22675 são o quarto e quinto dia zero que a Apple corrige este ano. Em janeiro, a empresa lançou rapidamente patches para iOS, iPadOS, macOS Monterey, watchOS, tvOS e HomePod. Corrigir bug de corrupção de memória de dia zero Ele pode dar aos exploradores a capacidade de executar código com privilégios de kernel. O bug, que é rastreado como CVE-2022-22587, está em IOMobileFrameBuffer. Uma vulnerabilidade separada, CVE-2022-22594, possibilitou que sites rastreassem informações confidenciais de usuários. O código de exploração para esta vulnerabilidade foi lançado publicamente antes do lançamento do patch.
A Apple em fevereiro empurrou uma correção para Use após livre de bugs No mecanismo de navegador Webkit que deu aos invasores a capacidade de executar códigos maliciosos em iPhones, iPads e iTouches. A Apple disse que os relatórios que recebeu indicam que a vulnerabilidade – CVE-2022-22620 – pode ter sido explorada ativamente.
uma Mesa Os pesquisadores de segurança do Google acompanham zero dias mostrando que a Apple corrigiu um total de 12 dessas vulnerabilidades em 2021. Entre elas estava uma falha no iMessage que a estrutura de spyware Pegasus estava atacando Explorar zero cliques, o que significa que os dispositivos foram infectados assim que receberam uma mensagem maliciosa, sem exigir nenhuma ação do usuário. Zero Day That Apple Corrigido em maio Tornou possível que os invasores infectassem dispositivos totalmente atualizados.