0
0
Zero day no Webkit pode permitir que um invasor alcance e tome o controle do kernel do sistema operacional
A Apple publicou atualizações de emergência para dois zero days que aparentemente já estão sendo ativamente explorados na internet. O primeiro, registrado como CVE-20220-32893, é uma falha de execução remota de código (RCE) no software de renderização de HTML da Apple (WebKit). Por meio dele uma página da Web pode enganar iPhones, iPads e Macs para executar código de software não autorizado e não confiável. A segunda falha é de execução de código do kernel, registrada como CVE-2022-32894. Um invasor que já tenha se instalado num dispositivo Apple explorando o bug do WebKit poderia assumir o controle do próprio kernel do sistema operacional.
Para corrigir os problemas, a Apple publicou alertas para quem usa o iPad OS 15 e iOS 15 – eles serão atualizados para a versão 15.6.1; no caso do macOS Monterey 12 a versão será atualizada para 12.5.2. A Apple diz em seu alerta que essa falha permitiria a um invasor executar código. Como isso está no mecanismo de tratamento da Web, provavelmente poderia ser explorado remotamente visitando um site criado com códigos maliciosos. Os bugs foram relatados por pesquisadores cujos nomes não foram revelados pela empresa.
FONTE: CISO ADVISOR