La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el miércoles agregado una falla de alta gravedad que afecta a iOS, iPadOS, macOS, tvOS y watchOS hasta sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2022-48618 (Puntuación CVSS: 7,8), se refiere a un error en el componente del kernel.
«Un atacante con capacidad de lectura y escritura arbitraria puede eludir la autenticación de puntero», dijo Apple en un aviso, y agregó que el problema «puede haber sido explotado en versiones de iOS lanzadas antes de iOS 15.7.1».
El fabricante del iPhone dijo que el problema se solucionó con controles mejorados. Actualmente no se sabe cómo se está utilizando la vulnerabilidad como arma en ataques del mundo real.
Curiosamente, los parches para la falla se lanzaron el 13 de diciembre de 2022 con el lanzamiento de iOS 16.2, iPadOS 16.2, macOS Ventura 13.1, tvOS 16.2y relojOS 9.2aunque no se reveló públicamente hasta más de un año después, el 9 de enero de 2024.
Vale la pena señalar que Apple resolvió una falla similar en el kernel (CVE-2022-32844puntuación CVSS: 6,3) en iOS 15.6 y iPadOS 15.6, que se envió el 20 de julio de 2022.
«Una aplicación con capacidad arbitraria de lectura y escritura del kernel puede evitar la autenticación de puntero», dijo la compañía en ese momento. «Se solucionó un problema lógico con una mejor gestión estatal».
A la luz de la explotación activa de CVE-2022-48618, CISA recomienda que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 21 de febrero de 2024.
El desarrollo también se produce cuando Apple amplió los parches para una falla de seguridad explotada activamente en el motor del navegador WebKit (CVE-2024-23222, puntuación CVSS: 8,8) para incluir sus auriculares Apple Vision Pro. La solución está disponible en visionOS 1.0.2.