Apple lanzó recientemente dos parches de emergencia para corregir dos días cero explotados activamente en macOS e iOS de Apple (reportado anónimamente). La compañía dijo que las fallas han sido explotadas en la naturaleza..
Las vulnerabilidades se han corregido en iOS y iPadOS. 15.4.1, macOS Monterrey 12.3.1, TVOS 15.4.1, y watchos 8.5.1. Sin embargo, resulta que Apple ha dejado de lado las máquinas que ejecutan Bug Sur y Catalina.
Apple deja Big Sur y Catalina sin parches
Un informe de Intego dice que la compañía "ha optado por dejar un 35-40% estimado de todas las Mac compatibles en peligro de vulnerabilidades explotadas activamente". Una semana después de que se revelaran los errores, Apple aún no ha publicado las actualizaciones de seguridad correspondientes para solucionar los mismos problemas en las dos versiones anteriores de macOS., Sur grande (Mac OS 11) y catalina (Mac OS 10.15), Intego dijo.
“Aparentemente, ambas versiones de macOS todavía reciben parches para “vulnerabilidades significativas”, y se explotan activamente. Día cero las vulnerabilidades ciertamente califican como significativas,”Agregaron los investigadores. A pesar de que la compañía ha mostrado el comportamiento saludable de parchear las dos versiones anteriores de su sistema operativo junto con Monterey, pero ahora se ha olvidado de parchearlos contra los días cero explotados activamente.
Apple ha mantenido la práctica de parchear las dos versiones anteriores de macOS junto con la versión actual de macOS durante casi una década.. Pero ahora, Apple se ha olvidado de parchear Big Sur y Catalina para abordar las últimas vulnerabilidades explotadas activamente..
CVE-2022-22675 es una vulnerabilidad de escritura fuera de banda ubicada en el componente de decodificación de audio y video llamado AppleAVD. La vulnerabilidad podría conducir a la ejecución de código arbitrario (también conocido como ejecución remota de código) con privilegios del kernel.
CVE-2022-22674 es un problema de lectura fuera de los límites en el módulo del controlador de gráficos Intel. El problema podría permitir que actores maliciosos lean la memoria del kernel.
macOS Monterey 12.3.1 actualizar, que fue lanzado la semana pasada, arreglos incluidos para los dos días cero (CVE-2022-22675 y CVE-2022-22674). El primero permanece sin parches para macOS Big Sur, y este último parece afectar tanto a Big Sur como a Catalina, Intego advirtió.