Uma vulnerabilidade no Webkit, o motor de renderização desenvolvido pela Apple e usado pelo navegador Safari, foi corrigida na semana passada com o lançamento de uma atualização da Apple para iOS (15.3.1 ), iPadOS (15.3.1 ), MacOS (12.2.1 ) e Safari (15.3). De acordo com a empresa, trata-se de uma falha do tipo user free que permite a um atacante processar conteúdos maliciosos especialmente projetados para executar código arbitrário de forma remota. Além disso, a Apple confirmou que está ciente de que a falha pode ser explorada por cibercriminosos.
A vulnerabilidade foi registrada como CVE-2022-22620 e relatada por um pesquisador que não quis se identificar.
A agência de segurança norte-americana CISA revelou através de um comunicado que determinou a necessidade de que as agências que compõem a FCEB (Federal Civilian Executive Branch Agencies) atualizem seus sistemas operacionais para corrigir a vulnerabilidade antes do próximo dia 25 de fevereiro.
A CISA destacou que tem provas que garantem que cibercriminosos estão explorando a vulnerabilidade ativamente. Além disso, a agência afirmou que essas falhas são vetores de ataque bem comuns para todos os tipos de atacantes e, portanto, representam um grande risco ao permitir a execução de códigos arbitrários em dispositivos iPhone, iPad e Mac através do navegador Safari, bem como do Google Chrome e Mozilla Firefox, já que todos os três usam o mecanismo de renderização de código aberto Webkit.
A falha CVE-2022-22620 é a terceiro vulnerabilidade zero-day que a Apple corrige apenas neste ano. Anteriormente, a CVE-2022-22594) e a CVE-2022-22587 também foram corrigidas pela empresa.
Para mais informações, leia as informações oficiais sobre a atualização da Apple para iOS, iPadOS, Safari e MacOS.