A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na quarta-feira adicionou uma falha de alta gravidade que afeta o iOS, iPadOS, macOS, tvOS e watchOS ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.
A vulnerabilidade, rastreada como
CVE-2022-48618
(pontuação CVSS: 7.8), diz respeito a um bug no componente do kernel.
"Um atacante com capacidade de leitura e gravação arbitrárias pode ser capaz de contornar a Autenticação de Ponteiro", disse a Apple em um comunicado, acrescentando que o problema "pode ter sido explorado contra versões do iOS lançadas antes do iOS 15.7.1".
A fabricante do iPhone disse que o problema foi resolvido com melhorias nos controles.
Atualmente, não se sabe como a vulnerabilidade está sendo armada em ataques reais.
Curiosamente, as correções para a falha foram lançadas em 13 de dezembro de 2022, com o lançamento do iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 e watchOS 9.2, embora tenha sido divulgada publicamente mais de um ano depois, em 9 de janeiro de 2024.
Vale ressaltar que a Apple resolveu uma falha semelhante no kernel (
CVE-2022-32844
, pontuação CVSS: 6.3) no iOS 15.6 e iPadOS 15.6, que foi lançado em 20 de julho de 2022.
"Um aplicativo com capacidade de leitura e gravação arbitrárias do kernel pode ser capaz de contornar a Autenticação do Ponteiro", disse a empresa na época.
"Uma questão lógica foi abordada com uma melhoria no gerenciamento de estado."
À luz da exploração ativa da
CVE-2022-48618
, a CISA está recomendando que as agências do Ramo Executivo Civil Federal (FCEB) apliquem as correções até 21 de fevereiro de 2024.
O desenvolvimento também ocorre à medida que a Apple expandiu as correções para uma falha de segurança ativamente explorada no motor de navegador WebKit (
CVE-2024-23222
, pontuação CVSS: 8.8) para incluir seu fone de ouvido Apple Vision Pro.
A correção está disponível na versão 1.0.2 do visionOS.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...