[ad_1]
A CISA alertou que uma falha de segurança corrigida do kernel que afeta iPhones, Macs, TVs e Apple Watches está agora sendo ativamente explorada em ataques. Rastreada como CVE-2022-48618 e descoberto pelos pesquisadores de segurança da Apple, a vulnerabilidade só foi divulgada em 9 de janeiro em uma atualização de um comunicado de segurança publicado em dezembro de 2022.
Falha corrigida do kernel do iPhone
A empresa ainda não revelou se a vulnerabilidade também foi corrigida silenciosamente há mais de dois anos, quando o comunicado foi emitido pela primeira vez. “Um invasor com capacidade arbitrária de leitura e gravação pode ignorar a autenticação Pointer”, revelou a empresa este mês.
A Apple está ciente de um relatório de que esse problema pode ter sido explorado em versões do iOS lançadas antes do iOS 15.7.1.
![cisa-alerta-sobre-ataques-usando-falha-corrigida-do-kernel-do-iphone](https://sempreupdate.com.br/wp-content/uploads/2024/01/cisa-alerta-sobre-ataques-usando-falha-corrigida-do-kernel-do-iphone-1024x576.jpg)
Essa vulnerabilidade de segurança de autenticação inadequada permite que invasores ignorem a Autenticação Pointer, um recurso de segurança projetado para bloquear ataques que tentam explorar bugs de corrupção de memória.
A Apple corrigiu a falha com verificações aprimoradas em dispositivos que executam iOS 16.2 ou posterior, iPadOS 16.2 ou posterior, macOS Ventura ou mais recente, tvOS 16.2 ou superior e watchOS 9.2 ou posterior. A lista de dispositivos afetados por esta falha explorada ativamente é bastante extensa e afeta modelos mais antigos e mais recentes, incluindo:
- iPhone 8 e posterior, iPad Pro (todos os modelos), iPad Air de 3ª geração e posterior, iPad de 5ª geração e posterior e iPad mini de 5ª geração e posterior;
- Macs executando macOS Ventura;
- Apple TV 4K, Apple TV 4K (2ª geração e posterior) e Apple TV HD;
- Apple Watch Series 4 e posterior.
Agências federais ordenadas a corrigir até 21 de fevereiro
Embora a Apple ainda não tenha compartilhado mais detalhes sobre a exploração ativa do CVE-2022-48618 em estado selvagem, a CISA adicionou a vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas. Também ordenou que as agências federais dos EUA corrigissem o bug até 21 de fevereiro, conforme exigido por uma diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
Na semana passada, a Apple também lançou atualizações de segurança para corrigir o primeiro bug de zero dia deste ano (CVE-2024-23222) explorado em ataques, um problema de confusão do WebKit que os invasores poderiam explorar para obter execução de código em iPhones, Macs e Apple TVs vulneráveis. No mesmo dia, a empresa também transferiu patches para modelos mais antigos de iPhone e iPad para mais dois dias zero do WebKit rastreados como CVE-2023-42916 e CVE-2023-42917 e corrigidos em novembro para dispositivos mais novos.
[ad_2]
Source link