A Apple lançou recentemente dois patches de emergência para corrigir dois dias zero explorados ativamente no macOS e iOS da Apple (denunciado anonimamente). A empresa disse que as falhas foram exploradas na natureza.
As vulnerabilidades foram corrigidas no iOS e iPadOS 15.4.1, macOS Monterey 12.3.1, tvOS 15.4.1, e watchOS 8.5.1. Contudo, Acontece que a Apple deixou de fora máquinas rodando Bug Sur e Catalina.
Apple deixa Big Sur e Catalina sem patch
Um relatório da Intego diz que a empresa “escolheu deixar cerca de 35 a 40% de todos os Macs suportados em risco de vulnerabilidades exploradas ativamente”. Uma semana depois que os bugs foram divulgados, A Apple ainda não lançou atualizações de segurança correspondentes para corrigir os mesmos problemas nas duas versões anteriores do macOS, Big Sur (Mac OS 11) e Catarina (Mac OS 10.15), Intego disse.
“Ambas as versões do macOS aparentemente ainda estão recebendo patches para “vulnerabilidades significativas” – e exploradas ativamente zero-day vulnerabilidades certamente se qualificam como significativas,”Os pesquisadores acrescentaram. Mesmo que a empresa tenha demonstrado o comportamento saudável de corrigir as duas versões anteriores de seu sistema operacional junto com o Monterey, mas agora negligenciou em corrigi-los contra zero-days explorados ativamente.
A Apple manteve a prática de corrigir as duas versões anteriores do macOS ao lado da versão atual do macOS por quase uma década. Mas agora, A Apple negligenciou o patch de Big Sur e Catalina para resolver as mais recentes vulnerabilidades exploradas ativamente.
CVE-2022-22675 é uma vulnerabilidade de gravação fora de banda localizada no componente de decodificação de áudio e vídeo chamado AppleAVD. A vulnerabilidade pode levar à execução arbitrária de código (também conhecido como execução remota de código) com privilégios de kernel.
CVE-2022-22674 é um problema de leitura fora dos limites no módulo Intel Graphics Driver. O problema pode permitir que agentes mal-intencionados leiam a memória do kernel.
O macOS Monterey 12.3.1 atualizar, que foi lançado na semana passada, correções incluídas para os dois dias zero (CVE-2022-22675 e CVE-2022-22674). O primeiro permanece sem correção para o macOS Big Sur, e o último parece afetar tanto Big Sur quanto Catalina, Intego avisado.