Casa > cibernético Notícias > Apple aborda dois dias zero (CVE-2022-22587, CVE-2022-22594)
CYBER NEWS

Apple aborda dois dias zero (CVE-2022-22587, CVE-2022-22594)

CVE-2022-22587
A Apple lançou recentemente novas versões de seus sistemas operacionais – iOS 15.3 e macOS Monterey 12.2, que continha uma série de correções, incluindo dois dias zero.

CVE-2022-22587

O primeiro dia zero está relacionado à corrupção de memória, e pode permitir que um aplicativo malicioso execute código arbitrário com privilégios de kernel. A vulnerabilidade existe no IOMobileFrameBuffer, que é uma extensão do kernel que permite aos desenvolvedores controlar a maneira como a memória de um dispositivo lida com a exibição da tela, também conhecido como framebuffer.




O bug CVE-2022-22587 afeta o iOS, iPadOS e macOS Monterey, com a correção para isso, incluindo uma validação de entrada aprimorada. É provável que a falha tenha sido explorada na natureza. Observe também que a atualização está disponível para iPhone 6s e posterior, todos os modelos do iPad Pro, iPad Air 2 e depois, iPad 5ª geração e posteriores, iPad mini 4 e depois, e a sétima geração do iPod touch.

CVE-2022-22594

O segundo dia zero fixado este mês é CVE-2022-22594, Uma vulnerabilidade de divulgação de informações do WebKit no Safari. O problema afeta o Safari para macOS, iOS e iPadOS. Foi divulgado por pesquisadores do FingerprintJS, e pode permitir que um site de espionagem descubra informações sobre outras guias que o usuário possa ter aberto.

A vulnerabilidade pode ser descrita como uma violação de política de origem cruzada na API IndexDB, que é uma API JavaScript que os navegadores usam para gerenciar um banco de dados NoSQL de objetos JSON. O problema foi corrigido com a validação de entrada.

Patches para as vulnerabilidades estão disponíveis no macOS Monterey 12.2 e o iOS/iPadOS 15.3 atualizações. iOS 15.3 também tem correções para problemas relacionados à obtenção de privilégios de root, execução de código arbitrário com privilégios de kernel, e poder obter arquivos de usuário via iCloud.

Vale ressaltar que os invasores usaram outro Erro do macOS WebKit, CVE-2021-1801, realizar campanhas de malvertising no ano passado. A falha afetou a política de sandboxing do iframe usando conteúdo da Web criado com códigos maliciosos, que foi corrigido com a aplicação aprimorada do sandbox iframe. A vulnerabilidade permitiu que os agentes de ameaças ignorassem a política de sandboxing do iframe, o mecanismo de navegador WebKit que alimenta o Safari e o Google Chrome.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo