Este jueves Apple lanzó un parche fuera de banda para corregir dos vulnerabilidades zero-day que afectan a macOS Monterey y a iOS y iPadOS, que según confirmó la compañía, está al tanto de la posibilidad de que estén siendo explotadas activamente por atacantes en campañas maliciosas.
Se trata de la CVE-2022-22675 y la CVE-2022-22674. La primera solo afecta a iOS y iPadOS, pero ambas están presentes en macOS. Según publicó Apple, las actualizaciones son 15.4.1 para iOS y iPadOS, y la 12.3.1 para macOS Monterey.
En cuanto al impacto de las vulnerabilidades, la CVE-2022-22674 afecta solo a macOS Monterey y radica en el Intel Graphic Driver. El fallo consiste en un problema de lectura “out-of-bounds”, es decir, fuera de los límites, que en caso de ser explotado permitiría que una aplicación lea memoria kernel.
En el caso de la CVE-2022-22675, además de macOS Monterey también afecta a iPhone 6s y modelos previos, todos los modelos de iPad Pro, iPad Air 2 y anteriores, iPad 5ta generación y anteriores, iPad mini 4 y anteriores y iPad touch 7ma generación. Esta vulnerabilidad radica en AppleAVD, que es el framework de Apple para decodificar audio y vodeo, y permite a un atacante ejecutar código arbitrario con privilegios de kernel, lo que implica puede ejecutar cualquier comando en el equipo vulnerable.
Si bien Apple reveló que está al tanto de la posibilidad de que ambas vulnerabilidades estén siendo aprovechadas por actores de amenazas en campañas maliciosas, no reveló detalles.
Vale la pena recordad que estas zero-day no son las primeras que parchea Apple en lo que va de 2022. En febrero la compañía lanzó una actualización para corregir la CVE-2022-22620, una zero day que afectaba a iOS, iPadOS y macOS que permitía la ejecución remota de código; y antes de este fallo había parcheado otras dos vulnerabilidades que permitían la ejecución de código arbitraria, como son la CVE-2022-22594 y la CVE-2022-22587.
Recomendamos a los usuarios actualizar sus dispositivos lo antes posible para mantener sus equipos seguros con los últimos parches de seguridad.