Los Estados Unidos. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) Recientemente agregó una falla de alta gravedad a sus vulnerabilidades explotadas conocidas. (KEV) catalogar, afectando a un espectro de dispositivos Apple, incluidas las OI, iPadOS, Mac OS, TVOS, y watchos.
CVE-2022-48618: Resumen técnico
Seguimiento como CVE-2022-48618 con una puntuación CVSS de 7.8, la vulnerabilidad se centra en un núcleo error de componente, representando una seria amenaza.
Apple reconoció la gravedad de la situación, indicando que un atacante con capacidad de lectura y escritura arbitraria puede ser capaz de eludir la autenticación de puntero. Según el aviso de Apple, la falla podría haber sido explotada en versiones de iOS anteriores 15.7.1.
Para contrarrestar esto, Apple implementó rápidamente controles mejorados para solucionar el problema. Sin embargo, Los detalles de cómo se explota la vulnerabilidad en escenarios del mundo real siguen sin revelarse., añadiendo un elemento de misterio a la situación.
Curiosamente, Los parches para CVE-2022-48618 se lanzaron discretamente en diciembre. 13, 2022, junto con el lanzamiento de iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, TVOS 16.2, y watchos 9.2. Asombrosamente, La divulgación pública de este defecto sólo salió a la luz más de un año después, en enero. 9, 2024.
Este incidente se hace eco de una resolución anterior de Apple en julio. 2022 cuando un defecto similar (CVE-2022-32844, Puntuación CVSS: 6.3) en el kernel se solucionó con el lanzamiento de iOS 15.6 y iPadOS 15.6. La empresa aclaró que “Una aplicación con capacidad arbitraria de lectura y escritura del kernel puede omitir la autenticación de puntero,” y esto se rectificó mediante una mejor gestión estatal.
En respuesta a la explotación activa de CVE-2022-48618, CISA recomienda urgentemente que el Poder Ejecutivo Civil Federal (FCEB) Las agencias aplican las correcciones en febrero. 21, 2024. El sentido de urgencia subraya los riesgos potenciales asociados con la vulnerabilidad..
Aumentando la complejidad de la situación, Apple solucionó una falla explotada activamente en el motor del navegador WebKit (CVE-2024-23222, Puntuación CVSS: 8.8), asegurando una cobertura integral. Esta solución se ha ampliado para abarcar los auriculares Apple Vision Pro., disponible en visionOS 1.0.2.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: