Apple corrige bugs de dia zero no macOS e iOS

A Apple lançou dois patches separados para o iOS móvel e o macOS usado em computadores Mac. Os patches abordam vulnerabilidades que possivelmente já estão sendo exploradas em estado selvagem e permitem adulterar a atividade do kernel em dispositivos Apple.

Bugs afetam dispositivos móveis e computadores Mac

Um patch corrige uma vulnerabilidade rastreada sob o designador CVE-2022-22675, que afeta ambos os sistemas operacionais. Um patch separado corrigindo outra vulnerabilidade apenas no macOS foi registrado em CVE-2022-22674.

O primeiro desses problemas, compartilhado por ambos os sistemas operacionais da Apple, reside em um componente chamado AppleAVD. O bug pode permitir a execução arbitrária de código em dispositivos móveis iOS e Macs, e os possíveis agentes de ameaças podem fazer isso com privilégios de kernel.

Um pesquisador anônimo e não identificado alertou a Apple sobre os problemas. A empresa anunciou ainda que tomou conhecimento de relatos de que essa vulnerabilidade já pode ser explorada ativamente, o que nunca é uma boa notícia.

Enquanto o bug CVE-2022-22675 era um problema de gravação fora dos limites, o outro, afetando apenas o macOS, é descrito como um bug de leitura fora dos limites. Esse problema específico foi descoberto no driver gráfico Intel usado pelo macOS. O bug permitiu que maus atores em potencial acessassem e lessem a memória do kernel. Há suspeitas de que esse problema também já tenha sido explorado ativamente antes do lançamento do patch.

Detalhes escassos revelados pela Apple

Não há muitas informações adicionais sobre as especificidades das vulnerabilidades e as possíveis maneiras pelas quais elas podem ter sido exploradas. A Apple provavelmente divulgaria especificações e dados mais detalhados sobre as vulnerabilidades e possíveis maneiras de abusar delas assim que houver mais tempo para lançar patches e eles conduzirem uma investigação mais completa sobre o assunto.