La Agencia de Seguridad de Infraestructura y Ciberseguridad ha identificado un fallo de seguridad en los sistemas operativos de Apple, particularmente iOS y macOS. Se ha agregado al catálogo de vulnerabilidades explotadas conocidas de la agencia.. La vulnerabilidad puede permitir a los atacantes eludir la autenticación de puntero y obtener acceso de lectura y escritura no autorizado al sistema..
Vulnerabilidades críticas de los sistemas operativos de Apple explotadas
Los Estados Unidos. CISA ha añadido al catálogo de vulnerabilidades explotadas conocidas de la agencia una vulnerabilidad crítica en iOS y macOS de Apple, descubierto por el equipo de seguridad de Apple. La falla ha sido designada CVE-2022-48618 y tiene un índice de gravedad bastante alto de cvss 7.8. Tras una explotación exitosa, Los atacantes podrían potencialmente eludir las medidas de seguridad y obtener acceso no autorizado a información sensible. CISA insta a todos los usuarios a tomar medidas inmediatas para proteger sus dispositivos.
Apple no ha revelado mucha información sobre CVE-2022-48618 y su explotación activa en la naturaleza. Sin embargo, La Agencia de Seguridad de Infraestructura y Ciberseguridad ha dirigido a todos los EE. UU.. agencias federales para solucionar este defecto para febrero 21, por la directiva operativa vinculante (DBO 22-01) emitido en noviembre 2021.
CVE-2022-48618 Impacto de la vulnerabilidad
Descubierto dentro el componente del núcleo del software de Apple, esta vulnerabilidad amenaza la integridad de los dispositivos al permitir a los adversarios manipular funciones de memoria y ejecutar código arbitrario.. La explotación exitosa lleva a comprometer los datos personales y socavar la seguridad de la infraestructura crítica que depende de estas tecnologías..
Esta falla se está explotando activamente y afecta a una amplia gama de dispositivos., incluidos modelos más antiguos y más nuevos, como iPhone 8 y después, iPadPro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de quinta generación y posteriores, y iPad mini de 5.ª generación y posteriores. Además, Afecta a los Mac que ejecutan macOS Ventura, Apple TV 4K, Apple TV 4K (2Segunda generación y posteriores), AppleTV HD, y serie Apple Watch 4 y después. De este modo, los sistemas afectados por CVE-2022-48618 son:
MacOS está llegando | hasta la versión 13.1 |
relojOS | antes de la versión 9.2 |
iOS y iPadOS | antes de la versión 16.2 |
tvOS | antes de la versión 16.2 |
La respuesta de Apple
En respuesta al descubrimiento, Apple ha publicado rápidamente parches para rectificar la vulnerabilidad, incorporar controles de seguridad mejorados en las últimas actualizaciones de software. Estas actualizaciones, que incluye iOS 16.2 y MacOS está llegando 13.1, objetivo fortalecer los dispositivos contra hazañas potenciales. Sin embargo, El retraso en la divulgación de la vulnerabilidad plantea dudas sobre el momento y la transparencia de las comunicaciones de seguridad.. Aunque, eso es más un "estándar de la industria" que una simple omisión de Apple.
Apple ha solucionado un fallo similar en el kernel (CVE-2022-32844, puntuación CVSS: 6.3) en iOS 15.6 y iPadOS 15.6, que fueron enviados en julio 20, 2022. La falla permitió que una aplicación con capacidad arbitraria de lectura y escritura del kernel eludiera la autenticación de puntero.. Sin embargo, Apple abordó el problema con una gestión estatal mejorada debido a un problema de lógica.