A Apple lançou nesta última quinta-feira (31) um patch extra para corrigir duas vulnerabilidades zero-day que afetam a macOS Monterey e iOS e iPadOS. A empresa confirmou que está ciente de que as falhas provavelmente estejam sendo exploradas ativamente por atacantes em campanhas maliciosas.
As vulnerabilidades são: CVE-2022-22675 e CVE-2022-22674. A primeira afeta apenas os dispositivos iOS e iPadOS, embora também estejam presentes nos macOS. Segundo a Apple, as atualizações são 15.4.1 para iOS e iPadOS, e 12.3.1 para MacOS Monterey.
Quanto ao impacto das vulnerabilidades, a CVE-2022-22674 afeta apenas MacOS Monterey e está no Intel Graphic Driver. A falha consiste em um problema de leitura "out-of-bounds", ou seja, fora dos limites, que se explorada pode permitir que um aplicativo leia a memória do kernel.
No caso da falha CVE-2022-22675, além do MacOS Monterey também afeta o iPhone 6s e modelos anteriores, todos os modelos do iPad Pro, iPad Air 2 e anteriores, iPad 5th geração e anteriores, iPad mini 4 e anteriores e iPad touch 7th geração. Esta vulnerabilidade reside no AppleAVD, que é a estrutura da Apple para decodificação de áudio e vídeo, e permite que um atacante execute código arbitrário com privilégios de kernel, o que significa que eles podem executar qualquer comando no dispositivo vulnerável.
Embora a Apple tenha revelado que está ciente da possibilidade de que ambas as vulnerabilidades estão sendo exploradas por cibercriminosos em campanhas maliciosas, a empresa não revelou detalhes.
Vale lembrar que essas vulnerabilidades zero-day não são as primeiras a serem corrigidas pela Apple neste ano. Em fevereiro, a empresa lançou uma atualização para corrigir a CVE-2022-22620, uma falha zero-day que afeta iOS, iPadOS e macOS, e permite a execução remota de códigos; e antes deste bug, empresa também corrigiu duas outras vulnerabilidades que permitem a execução arbitrária de códigos: CVE-2022-22594 e CVE-2022-22587.
Recomendamos que os usuários atualizem seus dispositivos o mais rápido possível para manter a segurança de seus computadores com os mais recentes patches de segurança.