CISA alerta sobre a exploração ativa de falhas críticas nos sistemas Apple iOS e macOS
1 de Fevereiro de 2024

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na quarta-feira adicionou uma falha de alta gravidade que afeta o iOS, iPadOS, macOS, tvOS e watchOS ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa.

A vulnerabilidade, rastreada como CVE-2022-48618 (pontuação CVSS: 7.8), diz respeito a um bug no componente do kernel.

"Um atacante com capacidade de leitura e gravação arbitrárias pode ser capaz de contornar a Autenticação de Ponteiro", disse a Apple em um comunicado, acrescentando que o problema "pode ter sido explorado contra versões do iOS lançadas antes do iOS 15.7.1".

A fabricante do iPhone disse que o problema foi resolvido com melhorias nos controles.

Atualmente, não se sabe como a vulnerabilidade está sendo armada em ataques reais.

Curiosamente, as correções para a falha foram lançadas em 13 de dezembro de 2022, com o lançamento do iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2 e watchOS 9.2, embora tenha sido divulgada publicamente mais de um ano depois, em 9 de janeiro de 2024.

Vale ressaltar que a Apple resolveu uma falha semelhante no kernel ( CVE-2022-32844 , pontuação CVSS: 6.3) no iOS 15.6 e iPadOS 15.6, que foi lançado em 20 de julho de 2022.

"Um aplicativo com capacidade de leitura e gravação arbitrárias do kernel pode ser capaz de contornar a Autenticação do Ponteiro", disse a empresa na época.

"Uma questão lógica foi abordada com uma melhoria no gerenciamento de estado."

À luz da exploração ativa da CVE-2022-48618 , a CISA está recomendando que as agências do Ramo Executivo Civil Federal (FCEB) apliquem as correções até 21 de fevereiro de 2024.

O desenvolvimento também ocorre à medida que a Apple expandiu as correções para uma falha de segurança ativamente explorada no motor de navegador WebKit ( CVE-2024-23222 , pontuação CVSS: 8.8) para incluir seu fone de ouvido Apple Vision Pro.

A correção está disponível na versão 1.0.2 do visionOS.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...