Os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) recentemente adicionou uma falha de alta gravidade às suas vulnerabilidades exploradas conhecidas (KEV) Catálogo, afetando uma gama de dispositivos Apple, incluindo iOS, iPadOS, Mac OS, tvOS, e watchOS.
CVE-2022-48618: Visão geral técnica
Rastreado como CVE-2022-48618 com uma pontuação CVSS de 7.8, a vulnerabilidade gira em torno de um núcleo bug de componente, representando uma séria ameaça.
A Apple reconheceu a gravidade da situação, afirmando que um invasor com capacidade arbitrária de leitura e gravação pode ignorar a autenticação de ponteiro. De acordo com o conselho da Apple, a falha pode ter sido explorada em versões do iOS anteriores 15.7.1.
Para combater isso, A Apple implementou rapidamente verificações aprimoradas para resolver o problema. Contudo, as especificidades de como a vulnerabilidade está sendo explorada em cenários do mundo real permanecem não divulgadas, adicionando um elemento de mistério à situação.
Curiosamente, patches para CVE-2022-48618 foram lançados discretamente em dezembro 13, 2022, junto com o lançamento do iOS 16.2, iPadOS 16.2, mac OS Ventura 13.1, tvOS 16.2, e watchOS 9.2. Surpreendentemente, a divulgação pública desta falha só veio à tona mais de um ano depois, em janeiro 9, 2024.
Este incidente ecoa uma resolução anterior da Apple em julho 2022 quando uma falha semelhante (CVE-2022-32844, pontuação CVSS: 6.3) no kernel foi resolvido com o lançamento do iOS 15.6 e iPadOS 15.6. A empresa esclareceu que “Um aplicativo com capacidade arbitrária de leitura e gravação de kernel pode ignorar a autenticação de ponteiro,” e isso foi corrigido através de uma melhor gestão do estado.
Em resposta à exploração ativa de CVE-2022-48618, A CISA está recomendando urgentemente que o Poder Executivo Civil Federal (FCEB) agências aplicam as correções até fevereiro 21, 2024. O senso de urgência ressalta os riscos potenciais associados à vulnerabilidade.
Aumentando a complexidade da situação, A Apple corrigiu uma falha explorada ativamente no mecanismo do navegador WebKit (CVE-2024-23222, pontuação CVSS: 8.8), garantindo uma cobertura abrangente. Esta correção foi expandida para abranger o fone de ouvido Apple Vision Pro, disponível no visionOS 1.0.2.