E a Apple corrigiu falha zero-day usada para hackear Macs e Apple Watchs, que informou via avisos de segurança divulgados na segunda-feira.
Zero-day são falhas de segurança que o fornecedor do software desconhece e ainda não corrigiu. Em alguns casos, esse tipo de vulnerabilidade também pode ter explorações de prova de conceito disponíveis publicamente antes da chegada de um patch ou pode ser explorada ativamente na natureza.
Dito isso, a Apple lançou atualizações de segurança para resolver uma vulnerabilidade de dia zero que os agentes de ameaças podem explorar em ataques direcionados a Macs e dispositivos Apple Watch.
Apple corrigiu falha zero-day usada para hackear Macs e Apple Watchs
Em avisos de segurança divulgados na segunda-feira, a Apple revelou que está ciente de relatos de que esse bug de segurança “pode ter sido ativamente explorado”.
A falha é um problema de gravação fora dos limites (CVE-2022-22675) no AppleAVD (uma extensão do kernel para decodificação de áudio e vídeo) que permite que aplicativos executem código arbitrário com privilégios de kernel.
O bug foi relatado por pesquisadores anônimos e corrigido pela Apple no macOS Big Sur 11.6, watchOS 8.6 e tvOS 15.5 com verificação de limites aprimorada.
A lista de dispositivos afetados inclui Apple Watch Series 3 ou posterior, Macs com macOS Big Sur, Apple TV 4K, Apple TV 4K (2ª geração) e Apple TV HD.
Embora a Apple tenha divulgado relatórios de exploração ativa na natureza, ela não divulgou nenhuma informação extra sobre esses ataques.
Ao reter informações, a empresa provavelmente pretende permitir que as atualizações de segurança alcancem o maior número possível de Apple Watches e Macs antes que os invasores percebam os detalhes do dia zero e comecem a implantar explorações em outros ataques.
Embora esse dia zero provavelmente tenha sido usado apenas em ataques direcionados, ainda é altamente recomendável instalar as atualizações de segurança atuais do macOS e watchOS o mais rápido possível para bloquear tentativas de ataque.
Em janeiro, a Apple corrigiu dois outros zero-days explorados para permitir que invasores obtenham execução arbitrária de código com privilégios de kernel (CVE-2022-22587) e rastreiem a atividade de navegação na web e identidades de usuários em tempo real (CVE-2022-22594) .
Um mês depois, a Apple lançou atualizações de segurança para corrigir um novo bug de dia zero (CVE-2022-22620) explorado para hackear iPhones, iPads e Macs, o que leva a falhas no sistema operacional e execução remota de código em dispositivos Apple comprometidos.
Em março, dois zero-days mais ativamente explorados no Intel Graphics Driver (CVE-2022-22674) e no decodificador de mídia AppleAVD (CVE-2022-22675), este último também retroportado hoje em versões mais antigas do macOS, no watchOS 8.6, e no tvOS 15.5.
Esses cinco dias zero afetam iPhones (iPhone 6s e superior), Macs com macOS Monterey e vários modelos de iPad.
Ao longo do ano passado, a empresa também corrigiu uma longa lista de dias zero explorados em estado selvagem para atingir dispositivos iOS, iPadOS e macOS.