CISA alerta sobre a exploração ativa de falhas críticas nos sistemas Apple iOS e macOS
1 de Fevereiro de 2024

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na quarta-feira adicionou uma falha de alta gravidade que afeta o iOS, iPadOS, macOS, tvOS e watchOS ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.

A vulnerabilidade, rastreada como CVE-2022-48618 (pontuação CVSS: 7.8), diz respeito a um bug no componente do kernel.

"Um atacante com capacidade de leitura e gravação arbitrárias pode ser capaz de contornar a Autenticação de Ponteiro", disse a Apple em um comunicado, acrescentando que o problema "pode ter sido explorado contra versões do iOS lançadas antes do iOS 15.7.1".

A fabricante do iPhone disse que o problema foi resolvido com melhorias nos controles.

Atualmente, não se sabe como a vulnerabilidade está sendo armada em ataques reais.

Curiosamente, as correções para a falha foram lançadas em 13 de dezembro de 2022, com o lançamento do iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 e watchOS 9.2, embora tenha sido divulgada publicamente mais de um ano depois, em 9 de janeiro de 2024.

Vale ressaltar que a Apple resolveu uma falha semelhante no kernel ( CVE-2022-32844 , pontuação CVSS: 6.3) no iOS 15.6 e iPadOS 15.6, que foi lançado em 20 de julho de 2022.

"Um aplicativo com capacidade de leitura e gravação arbitrárias do kernel pode ser capaz de contornar a Autenticação do Ponteiro", disse a empresa na época.

"Uma questão lógica foi abordada com uma melhoria no gerenciamento de estado."

À luz da exploração ativa da CVE-2022-48618 , a CISA está recomendando que as agências do Ramo Executivo Civil Federal (FCEB) apliquem as correções até 21 de fevereiro de 2024.

O desenvolvimento também ocorre à medida que a Apple expandiu as correções para uma falha de segurança ativamente explorada no motor de navegador WebKit ( CVE-2024-23222 , pontuação CVSS: 8.8) para incluir seu fone de ouvido Apple Vision Pro.

A correção está disponível na versão 1.0.2 do visionOS.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...