A CISA alertou que uma falha de segurança corrigida do kernel que afeta iPhones, Macs, TVs e Apple Watches está agora sendo ativamente explorada em ataques. Rastreada como CVE-2022-48618 e descoberto pelos pesquisadores de segurança da Apple, a vulnerabilidade só foi divulgada em 9 de janeiro em uma atualização de um comunicado de segurança publicado em dezembro de 2022.
Falha corrigida do kernel do iPhone
A empresa ainda não revelou se a vulnerabilidade também foi corrigida silenciosamente há mais de dois anos, quando o comunicado foi emitido pela primeira vez. “Um invasor com capacidade arbitrária de leitura e gravação pode ignorar a autenticação Pointer”, revelou a empresa este mês.
A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS lançadas antes do iOS 15.7.1.
Essa vulnerabilidade de segurança de autenticação inadequada permite que invasores ignorem a Autenticação Pointer, um recurso de segurança projetado para bloquear ataques que tentam explorar bugs de corrupção de memória.
A Apple corrigiu a falha com verificações aprimoradas em dispositivos que executam iOS 16.2 ou posterior, iPadOS 16.2 ou posterior, macOS Ventura ou mais recente, tvOS 16.2 ou superior e watchOS 9.2 ou posterior. A lista de dispositivos afetados por esta falha explorada ativamente é bastante extensa e afeta modelos mais antigos e mais recentes, incluindo:
- iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior e iPad mini de 5ª geração e posterior;
- Macs executando macOS Ventura;
- Apple TV 4K, Apple TV 4K (2ª geração e posterior) e Apple TV HD;
- Apple Watch Series 4 e posterior.
Agências federais ordenadas a corrigir até 21 de fevereiro
Embora a Apple ainda não tenha compartilhado mais detalhes sobre a exploração ativa do CVE-2022-48618 em estado selvagem, a CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas. Também ordenou que as agências federais dos EUA corrigissem o bug até 21 de fevereiro, conforme exigido por uma diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
Na semana passada, a Apple também lançou atualizações de segurança para corrigir o primeiro bug de zero dia deste ano (CVE-2024-23222) explorado em ataques, um problema de confusão do WebKit que os invasores poderiam explorar para obter execução de código em iPhones, Macs e Apple TVs vulneráveis. No mesmo dia, a empresa também transferiu patches para modelos mais antigos de iPhone e iPad para mais dois dias zero do WebKit rastreados como CVE-2023-42916 e CVE-2023-42917 e corrigidos em novembro para dispositivos mais novos.