Gli Stati Uniti. Agenzia per la sicurezza informatica e delle infrastrutture (CISA) ha recentemente aggiunto un difetto di elevata gravità alle sue vulnerabilità sfruttate note (KEV) catalogare, che colpisce una vasta gamma di dispositivi Apple, compresi gli obblighi di, iPadOS, Mac OS, TVOS, e watchos.
CVE-2022-48618: Panoramica tecnica
Tracciato come CVE-2022-48618 con un punteggio CVSS di 7.8, la vulnerabilità è incentrata su a nocciolo bug del componente, rappresentando una seria minaccia.
Apple ha riconosciuto la gravità della situazione, affermando che un utente malintenzionato con capacità di lettura e scrittura arbitraria potrebbe essere in grado di ignorare l'autenticazione del puntatore. Secondo l'avviso di Apple, il difetto potrebbe essere stato sfruttato nelle versioni di iOS precedenti 15.7.1.
Per contrastare questo, Apple ha rapidamente implementato controlli avanzati per risolvere il problema. Tuttavia, i dettagli di come la vulnerabilità viene sfruttata negli scenari del mondo reale rimangono sconosciuti, aggiungendo un elemento di mistero alla situazione.
È interessante notare che, le patch per CVE-2022-48618 sono state rilasciate discretamente a dicembre 13, 2022, insieme al lancio di iOS 16.2, iPadOS 16.2, Mac OS Ventura 13.1, TVOS 16.2, e watchos 9.2. sorprendentemente, la divulgazione pubblica di questo difetto è venuta alla luce solo più di un anno dopo, a gennaio 9, 2024.
Questo incidente fa eco a una precedente risoluzione di Apple a luglio 2022 quando un difetto simile (CVE-2022-32844, Punteggio CVSS: 6.3) nel kernel è stato risolto con il rilascio di iOS 15.6 e iPadOS 15.6. Lo ha chiarito la società “Un'app con funzionalità di lettura e scrittura arbitraria del kernel potrebbe essere in grado di ignorare l'autenticazione del puntatore,” e questo è stato corretto attraverso una migliore gestione dello stato.
In risposta allo sfruttamento attivo di CVE-2022-48618, La CISA raccomanda urgentemente l'istituzione dell'esecutivo civile federale (FCEB) le agenzie applicano le correzioni entro febbraio 21, 2024. Il senso di urgenza sottolinea i potenziali rischi associati alla vulnerabilità.
A peggiorare la complessità della situazione, Apple ha risolto un difetto attivamente sfruttato nel motore del browser WebKit (CVE-2024-23222, Punteggio CVSS: 8.8), garantendo una copertura completa. Questa correzione è stata estesa per comprendere le cuffie Apple Vision Pro, disponibile in visionOS 1.0.2.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: