0
0
A Apple lançou atualizações de segurança para iOS, iPadOS e macOS Montereypara corrigir CVE-2022-32894 e CVE-2022-32893, duas vulnerabilidades de execução de código exploradas por invasores à solta.
Sobre as vulnerabilidades (CVE-2022-32894, CVE-2022-32893)
O CVE-2022-32894 é um problema de gravação fora dos limites no kernel dos sistemas operacionais que pode ser explorado por um aplicativo malicioso para executar código arbitrário com privilégios de kernel (e assumir o controle de todo o sistema).
O CVE-2022-32893 é um problema de gravação fora dos limites no WebKit – o mecanismo de navegador da Apple que alimenta seu navegador Safari e todos os navegadores iOS – que pode ser acionado pelo processamento de conteúdo da Web criado com códigos maliciosos. Também pode levar à execução arbitrária de código.
Ambos foram relatados por um pesquisador anônimo.
Como de costume, a Apple não compartilhou detalhes sobre os ataques que alavancam os dois dias zero, mas é provável que as falhas estejam sendo exploradas para ataques direcionados.
No entanto, todos os usuários devem implementar as atualizações o mais rápido possível, atualizando para:
- iOS 15.6.1
- iPadOS 15.6.
- macOS 12.5.1 (atualizações para outras versões suportadas do macOS provavelmente virão posteriormente)
Também corrigido: um dia zero do Chrome (CVE-2022-2856)
Os usuários do MacOS que usam o Google Chrome e não têm a atualização automática ativada também devem atualizar esse navegador, porque o Google lançou uma nova versão que corrige – entre outras vulnerabilidades – CVE-2022-2856, um bug de validação de entrada imprópria afetando a intenção do Chrome.
O Google diz que o dia zero foi sinalizado por Ashley Shen e Christian Resell, do Google Threat Analysis Group, e que “está ciente de que existe um exploit para o CVE-2022-2856”.
“Um Chrome Intent é um mecanismo para acionar aplicativos diretamente de uma página da Web, no qual os dados da página da Web são alimentados em um aplicativo externo que é iniciado para processar esses dados”, observou Paul Ducklin, cientista de pesquisa principal da Sophos.
“O Google não forneceu detalhes sobre quais aplicativos, ou que tipo de dados, podem ser manipulados maliciosamente por esse bug (…) que normalmente seria bloqueado por motivos de segurança.”
Além de uma nova versão do Chrome para Mac, o Google também lançou novas versões para Windows e Linux que corrigem as mesmas vulnerabilidades, e todas serão lançadas nos próximos dias/semanas.
ATUALIZAÇÃO (19 de agosto de 2022, 05:58 ET):
A falha do WebKit foi corrigida separadamente no Safari 15.6.1.
FONTE: HELPNET SECURITY