Apple lanzó el jueves correcciones para dos vulnerabilidades críticas de día cero en iPhones, iPads y Macs que brindan a los piratas informáticos un acceso peligroso a los componentes internos de los sistemas operativos en los que se ejecutan los dispositivos.

Apple le dio crédito a un investigador anónimo por descubrir ambas vulnerabilidades. La primera vulnerabilidad, CVE-2022-22675, reside en macOS para Monterey e iOS o iPadOS para la mayoría de los modelos de iPhone y iPad. La falla, que se deriva de un problema de escritura fuera de los límites, brinda a los piratas informáticos la capacidad de ejecutar código malicioso que se ejecuta con privilegios de kernel, la región más sensible a la seguridad del sistema operativo. Sin embargo, CVE-2022-22674 también es el resultado de un problema de lectura fuera de los límites que puede provocar pérdidas de memoria del kernel.

Apple dio a conocer detalles básicos de las fallas aqui y aqui. «Apple está al tanto de un informe de que este problema puede haber sido explotado activamente», escribió la compañía sobre ambas vulnerabilidades.

Lloviendo los Días Cero de Apple

CVE-2022-22674 y CVE-2022-22675 son el cuarto y quinto día cero que Apple ha corregido este año. En enero, la compañía lanzó parches para iOS, iPadOS, macOS Monterey, watchOS, tvOS y HomePod Software para arreglar una falla de corrupción de memoria de día cero lo que podría dar a los exploradores la capacidad de ejecutar código con privilegios de kernel. El error, rastreado como CVE-2022-22587, residía en IOMobileFrameBuffer. Una vulnerabilidad separada, CVE-2022-22594, hizo posible que los sitios web rastreen información confidencial del usuario. El código de explotación para esta vulnerabilidad se publicó públicamente antes de que se emitiera el parche.

Apple lanzó en febrero una corrección para un usar después de libre de errores en el motor del navegador Webkit que les dio a los atacantes la capacidad de ejecutar código malicioso en iPhones, iPads e iTouches. Apple dijo que los informes recibidos indicaban que la vulnerabilidad, CVE-2022-22620, también podría haber sido explotada activamente.

UN hoja de cálculo Los investigadores de seguridad de Google realizan un seguimiento de los programas de día cero que Apple corrigió un total de 12 de estas vulnerabilidades en 2021. Entre ellas, se encontraba una falla en iMessage que el marco de software espía Pegasus estaba atacando usando un exploración sin clic, lo que significa que los dispositivos se infectaron con solo recibir un mensaje malicioso, sin necesidad de ninguna acción por parte del usuario. Dos cero días que Apple fijado en mayo permitió a los atacantes infectar dispositivos completamente actualizados.