CISA alerta sobre ataques usando falha corrigida do kernel do iPhone

Navegador do Vivaldi chega ao iOS
Navegador do Vivaldi chega ao iOS iphone

A CISA alertou que uma falha de segurança corrigida do kernel que afeta iPhones, Macs, TVs e Apple Watches está agora sendo ativamente explorada em ataques. Rastreada como CVE-2022-48618 e descoberto pelos pesquisadores de segurança da Apple, a vulnerabilidade só foi divulgada em 9 de janeiro em uma atualização de um comunicado de segurança publicado em dezembro de 2022.

Falha corrigida do kernel do iPhone

A empresa ainda não revelou se a vulnerabilidade também foi corrigida silenciosamente há mais de dois anos, quando o comunicado foi emitido pela primeira vez. “Um invasor com capacidade arbitrária de leitura e gravação pode ignorar a autenticação Pointer”, revelou a empresa este mês.

A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS lançadas antes do iOS 15.7.1.

cisa-alerta-sobre-ataques-usando-falha-corrigida-do-kernel-do-iphone

Essa vulnerabilidade de segurança de autenticação inadequada permite que invasores ignorem a Autenticação Pointer, um recurso de segurança projetado para bloquear ataques que tentam explorar bugs de corrupção de memória.

A Apple corrigiu a falha com verificações aprimoradas em dispositivos que executam iOS 16.2 ou posterior, iPadOS 16.2 ou posterior, macOS Ventura ou mais recente, tvOS 16.2 ou superior e watchOS 9.2 ou posterior. A lista de dispositivos afetados por esta falha explorada ativamente é bastante extensa e afeta modelos mais antigos e mais recentes, incluindo:

  • iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior e iPad mini de 5ª geração e posterior;
  • Macs executando macOS Ventura;
  • Apple TV 4K, Apple TV 4K (2ª geração e posterior) e Apple TV HD;
  • Apple Watch Series 4 e posterior.

Agências federais ordenadas a corrigir até 21 de fevereiro

Embora a Apple ainda não tenha compartilhado mais detalhes sobre a exploração ativa do CVE-2022-48618 em estado selvagem, a CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas. Também ordenou que as agências federais dos EUA corrigissem o bug até 21 de fevereiro, conforme exigido por uma diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.

Na semana passada, a Apple também lançou atualizações de segurança para corrigir o primeiro bug de zero dia deste ano (CVE-2024-23222) explorado em ataques, um problema de confusão do WebKit que os invasores poderiam explorar para obter execução de código em iPhones, Macs e Apple TVs vulneráveis. No mesmo dia, a empresa também transferiu patches para modelos mais antigos de iPhone e iPad para mais dois dias zero do WebKit rastreados como CVE-2023-42916 e CVE-2023-42917 e corrigidos em novembro para dispositivos mais novos.