0
0
Sobre cve-2022-22620
CVE-2022-22620 é um uso após problema gratuito no WebKit, o mecanismo do navegador usado no Safari e em todos os navegadores iOS.
A Apple o corrigiu no iOS 15.3.1 e no iPadOS 15.3.1, nos macOS Monterey 12.2.1 e no Safari 15.3.
“O processamento de conteúdo web maliciosamente criado pode levar à execução arbitrária de código. A Apple está ciente de um relatório de que esse problema pode ter sido ativamente explorado”, observou a empresa nas notas de lançamento da atualização de segurança e creditou a um pesquisador anônimo a denunciá-lo.
“As vulnerabilidades do WebKit são normalmente exploradas expondo o dispositivo a uma página da Web maliciosa, mas qualquer coisa renderizada usando o mecanismo WebKit pode potencialmente ser usada para expor a vulnerabilidade”, observou o Dr. Johannes Ullrich, reitor de pesquisa do Instituto de Tecnologia SANS.
“Atualmente, não está claro se outros dispositivos que usam WebKit são vulneráveis ou se o patch será lançado como uma atualização do Safari para versões mais antigas do macOS. Mas, normalmente, a Apple não libera informações de vulnerabilidade até que todos os sistemas operacionais afetados sejam corrigidos.”
Aplique as atualizações
De acordo com o costume, não foram compartilhados detalhes específicos sobre a vulnerabilidade ou os ataques.
Muitas das vulnerabilidades de zero-day ativamente exploradas no iOS corrigidas pela Apple nos últimos anos acabaram sendo aproveitadas para fornecer o spyware Pegasus do NSO Group para selecionar alvos em ataques limitados.
Ainda assim, existe a possibilidade de os ataques serem mais difundidos, por isso os usuários de iPhones, iPads e Macs não devem confiar em seus dispositivos para verificar e informá-los sobre as atualizações disponíveis, mas procure-se e implemente-os o mais rápido possível.
FONTE: HELPNET SECURITY