A Apple lançou o iOS e iPadOS 15.4.1, bem como o macOS 12.3.1 para corrigir duas vulnerabilidades que parecem ter sido exploradas ativamente pelo invasor.
A empresa diz que “um problema de gravação fora dos limites foi corrigido melhorando a verificação de limites”. Sem esse patch, “um aplicativo pode executar código arbitrário com privilégios de kernel” e a Apple “está ciente de um relatório de que esse problema pode ter sido explorado ativamente”.
A Apple diz que a vulnerabilidade, identificada como CVE-2022-22675, foi divulgada por um pesquisador de segurança anônimo. Diz-se que afeta todos os iPhones lançados desde 2015 e o iPod touch de 7ª geração, bem como os modelos recentes de iPad, iPad mini, iPad Pro e iPad Air.
A falha está em uma parte do iOS e iPadOS chamada AppleAVD. A empresa não parece oferecer nenhuma documentação para o AppleAVD, mas de acordo com o Malware News, é um “decodificador que lida com certos arquivos de mídia” que sofreu vulnerabilidades semelhantes no passado.
A Apple também lançou o macOS 12.3.1 para resolver o CVE-2022-22675 e outra vulnerabilidade identificada como CVE-2022-22674. Essa falha também foi relatada por um pesquisador anônimo, diz a Apple, e ao explorá-la “um aplicativo pode ler a memória do kernel”.
“Um problema de leitura fora dos limites pode levar à divulgação da memória do kernel e foi resolvido com validação de entrada aprimorada”, diz a empresa. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente.”
A Apple diz que o CVE-2022-22674 está presente em um driver gráfico Intel. Presumivelmente, isso significa que os Macs que apresentam seu silício personalizado, que neste momento inclui quase tudo, exceto o Mac Pro, não são suscetíveis a essa falha. Mas a empresa não disse quais modelos são afetados.
