A Agência de Segurança Cibernética e de Infraestrutura identificou um falha de segurança nos sistemas operacionais da Apple, particularmente iOS e macOS. Foi adicionado ao catálogo de vulnerabilidades exploradas conhecidas da agência. A vulnerabilidade pode permitir que invasores ignorem a autenticação de ponteiro e obtenham acesso não autorizado de leitura e gravação ao sistema.
Vulnerabilidades críticas dos sistemas operacionais da Apple exploradas
Os EUA. CISA adicionou ao catálogo de vulnerabilidades exploradas conhecidas da agência, uma vulnerabilidade crítica no iOS e macOS da Apple, descoberto pela equipe de segurança da Apple. A falha foi designada CVE-2022-48618 e tem uma classificação de gravidade bastante alta de CVSS 7.8. Após exploração bem-sucedida, os invasores poderiam potencialmente ignorar as medidas de segurança e obter acesso não autorizado para informações confidenciais. A CISA está pedindo a todos os usuários que tomem medidas imediatas para proteger seus dispositivos.
A Apple não revelou muitas informações sobre CVE-2022-48618 e sua exploração ativa na natureza. No entanto, a Agência de Segurança Cibernética e de Infraestrutura orientou todos os EUA. agências federais para corrigir essa falha até fevereiro 21, por a directiva operacional vinculativa (DBO 22-01) emitido em novembro 2021.
Impacto da vulnerabilidade CVE-2022-48618
Descoberto dentro o componente kernel do software da Apple, esta vulnerabilidade ameaça a integridade dos dispositivos, permitindo que adversários manipulem funções de memória e executem código arbitrário. A exploração bem-sucedida leva ao comprometimento de dados pessoais e prejudica a segurança da infraestrutura crítica que depende dessas tecnologias.
Esta falha está sendo explorada ativamente e afeta uma ampla gama de dispositivos, incluindo modelos mais antigos e mais recentes, como o iPhone 8 e depois, iPad Pro (todos os modelos), iPad Air 3ª geração e posterior, iPad de 5ª geração e posterior, e iPad mini de 5ª geração e posterior. Adicionalmente, afeta Macs executando macOS Ventura, Apple TV 4K, Apple TV 4K (2segunda geração e posteriores), AppleTVHD, e série Apple Watch 4 e depois. Por isso, os sistemas afetados por CVE-2022-48618 são:
| macOS está chegando | até a versão 13.1 |
| watchOS | antes da versão 9.2 |
| iOS and iPadOS | antes da versão 16.2 |
| tvOS | antes da versão 16.2 |
Resposta da Apple
Em resposta à descoberta, A Apple emitiu imediatamente patches para corrigir a vulnerabilidade, incorporando verificações de segurança aprimoradas nas atualizações de software mais recentes. Essas atualizações, que incluem iOS 16.2 e macOS está chegando 13.1, visam fortalecer dispositivos contra explorações potenciais. No entanto, a divulgação atrasada da vulnerabilidade levanta questões sobre o momento e a transparência das comunicações de segurança. No entanto, isso é mais um “padrão da indústria” do que apenas a omissão da Apple.
A Apple corrigiu uma falha semelhante no kernel (CVE-2022-32844, Pontuação CVSS: 6.3) no iOS 15.6 and iPadOS 15.6, que foram enviados em julho 20, 2022. A falha permitiu que um aplicativo com capacidade arbitrária de leitura e gravação do kernel ignorasse a autenticação do ponteiro. No entanto, A Apple resolveu o problema melhorando o gerenciamento de estado devido a um problema lógico.
