Apple lança patch para corrigir vulnerabilidades zero-day no iPhone, iPad e Mac

A Apple lançou nesta última quinta-feira (31) um patch extra para corrigir duas vulnerabilidades zero-day que afetam a macOS Monterey e iOS e iPadOS. A empresa confirmou que está ciente de que as falhas provavelmente estejam sendo exploradas ativamente por atacantes em campanhas maliciosas.

As vulnerabilidades são: CVE-2022-22675 e CVE-2022-22674. A primeira afeta apenas os dispositivos iOS e iPadOS, embora também estejam presentes nos macOS. Segundo a Apple, as atualizações são 15.4.1 para iOS e iPadOS, e 12.3.1 para MacOS Monterey.

Quanto ao impacto das vulnerabilidades, a CVE-2022-22674 afeta apenas MacOS Monterey e está no Intel Graphic Driver. A falha consiste em um problema de leitura "out-of-bounds", ou seja, fora dos limites, que se explorada pode permitir que um aplicativo leia a memória do kernel.

No caso da falha CVE-2022-22675, além do MacOS Monterey também afeta o iPhone 6s e modelos anteriores, todos os modelos do iPad Pro, iPad Air 2 e anteriores, iPad 5th geração e anteriores, iPad mini 4 e anteriores e iPad touch 7th geração. Esta vulnerabilidade reside no AppleAVD, que é a estrutura da Apple para decodificação de áudio e vídeo, e permite que um atacante execute código arbitrário com privilégios de kernel, o que significa que eles podem executar qualquer comando no dispositivo vulnerável.

Embora a Apple tenha revelado que está ciente da possibilidade de que ambas as vulnerabilidades estão sendo exploradas por cibercriminosos em campanhas maliciosas, a empresa não revelou detalhes.

Vale lembrar que essas vulnerabilidades zero-day não são as primeiras a serem corrigidas pela Apple neste ano. Em fevereiro, a empresa lançou uma atualização para corrigir a CVE-2022-22620, uma falha zero-day que afeta iOS, iPadOS e macOS, e permite a execução remota de códigos; e antes deste bug, empresa também corrigiu duas outras vulnerabilidades que permitem a execução arbitrária de códigos: CVE-2022-22594 e CVE-2022-22587.

Recomendamos que os usuários atualizem seus dispositivos o mais rápido possível para manter a segurança de seus computadores com os mais recentes patches de segurança.