Apple ha lanzado correcciones para dos vulnerabilidades críticas de día cero en sus dispositivos, que ofrecían a los atacantes la posibilidad de acceder a partes internas de su sistema operativo y robar información.
Son considerados ataques de día cero aquellos fallos para los que no existe un parche determinado debido a que los desarrolladores desconocían su existencia antes de que la vulnerabilidad fuera explotada.
Concretamente, Apple ha lanzado las actualizaciones de seguridad para macOS Monterey 12.3.1 y 15.4.1 para iOS e iPadOS, que han logrado corregir los fallos reconocidos como CVE-2022-22674 y CVE-2022-22675.
Según ha indicado Apple en su página de soporte, la primera vulnerabilidad, CVE-2022-22674, que reside en macOS Monterey, deriva de un problema de lectura fuera de los límites del sistema.
Eso puede conducir al libre acceso a la memoria del kernel, lo que brinda a los piratas informáticos la capacidad de ejecutar código malicioso. En este caso, se ha solucionado mejorando la validación de entrada.
Por otro lado, CVE-2022-22675 afecta tanto a macOS Monterey como a iOS 15.4.1 y iPadOS 15.4.1, esto es, a iPhone 6s y modelos posteriores, todos los modelos de iPad Pro, iPad Air 2 y posteriores, iPad de 5ª generación y posteriores, iPad mini 4 y posteriores, y iPod touch de 7ª generación.
El impacto en este caso ha sido que una aplicación podía ejecutar código arbitrario con privilegios kernel, debido a un problema de escritura fuera de los límites.
En este caso, el fabricante tecnológico, que ha reconocido haber explotado de forma activa ambas vulnerabilidades, le ha dado solución mejorando la verificación de los límites.
Conviene recordar que estas Apple lanzó otro parche de seguridad con las versiones iOS 15.3.1 e iPadOS 15.3.1 el pasado mes de febrero para corregir una vulnerabilidad (CVE-2022-22620) hallada en el motor del navegador web WebKit.
Además, a finales de enero el fabricante implementó otro parche de seguridad para frenar las filtraciones de información confidencial de los usuarios.
Lo hizo con una tercera actualización de iOS 15.3. y iPadOS 15.3, con la que solucionó una vulnerabilidad en la interfaz de programación de aplicaciones (API) IndexedDB, tanto en su navegador en su navegador web nativo como en cualquier otro que utilice WebKit en iOS 15 e iPadOS 15.
