0
0
Entre 35% e 40% de todos os Macs suportados podem estar em risco aumentado de comprometimento de duas vulnerabilidades de zero-day que a Apple disse que estão sendo exploradas na natureza, mas para as quais a empresa ainda não emitiu um patch.
A Apple divulgou as duas vulnerabilidades — CVE-2022-22675 e CVE-2022-22674 — na semana passada e as descreveu como dispositivos impactantes que executam seus sistemas operacionais macOS, iOS e iPadOS. A empresa lançou versões atualizadas do software que abordavam o problema para os usuários dos mais recentes sistemas operacionais macOS Monterey e iOS 15 e iPadOS 15 da Apple.
No entanto, em uma pausa de sua prática habitual, a Apple parece, pelo menos até agora, não ter lançado uma correção correspondente para as falhas nas duas versões imediatamente anteriores do macOS — Big Sur e Catalina — diz Joshua Long, analista-chefe de segurança da Intego.
Isso marca a primeira vez desde que a Apple lançou o macOS Monterey em outubro passado que a empresa não emitiu um patch para vulnerabilidades ativamente exploradas em Big Sur e Catalina, diz Long. Em três ocasiões antes disso — em 21 de outubro de 21, 22 de janeiro de 22 e fevereiro de 22 — a empresa emitiu patches simultâneos para big sur e Catalina para abordar bugs que estavam sendo ativamente explorados no buffer IO Mobile Frame (duas vezes) e no WebKit.
Na verdade, a Apple tornou uma prática por quase uma década corrigir as duas versões anteriores do macOS toda vez que emitiu uma atualização significativa para o macOS atual, observa.
Intego fez várias tentativas para obter uma explicação da Apple, mas a empresa até agora não respondeu, diz ele. A Apple também não respondeu a um pedido de leitura escura para comentar o relatório do Intego.
Long diz que pelas estimativas do Intego — com base nas taxas de adoção pré-Catalina macOS — cerca de 35% a 40% dos Macs em uso ativo atualmente estão executando macOS Big Sur ou mais antigos e, portanto, permanecem vulneráveis às duas ameaças de zero-day. Long diz que não está claro por que a Apple pode ter se desviado de suas práticas habituais de lançamento de patches desta vez. Também não está claro se a empresa tem sequer um plano para resolver o problema em Big Sur e Catalina.
Política de patches Não está claro
“A Apple nunca declarou publicamente sua política de patching, além de dizer em 2003 que ‘é política da Apple abordar rapidamente vulnerabilidades significativas em versões passadas do Mac OS X sempre que possível'”, observa Long. O que a empresa não deixou claro é o que exatamente ela define como uma ameaça significativa. “Mas seria de supor que uma vulnerabilidade de zero-day que está sendo ativamente explorada na natureza seja ‘significativa’ para os padrões de qualquer um”, diz ele.
O CVE-2022-22675 decorre de um problema de gravação fora dos limites no decodificador de arquivos de mídia AppleAVD. Ele impacta várias versões compatíveis com iOS, macOS e iPadOS e dá aos atacantes uma maneira de executar códigos maliciosos no nível do kernel. A outra falha — CVE-2022-22674 — está ligada a um problema de leitura fora dos limites em um componente do Intel Graphics Driver e pode resultar no conteúdo da memória do kernel sendo divulgado aos atacantes. Essa falha existe apenas nas versões do macOS.
Long diz que a Intego foi capaz de confirmar que o Big Sur é vulnerável ao CVE-2022-22675 pela engenharia reversa do patch que a Apple lançou para a falha para o macOS Monterey.
“Catalina não é impactada pelo CVE-2022-22675 porque não tem o componente afetado”, diz ele. A Intego ainda não reverteu o patch para cve-2022-22674, então a empresa não foi capaz de confirmar se a vulnerabilidade está presente em Big Sur e Catalina.
Mas é muito provável que a vulnerabilidade impacte esses dois sistemas operacionais também. Isso porque quase todas as vulnerabilidades do componente Intel Graphics Driver nos últimos anos impactaram todas as versões do macOS. Não há razão para acreditar que a vulnerabilidade atual seja diferente, de acordo com Long.
Intego disse que há dezenas de outras vulnerabilidades em Big Sur e Catalina que a Apple não abordou ao longo dos anos.
A Apple, como muitos outros grandes fornecedores de software, teve sua parcela de críticas no passado sobre suas práticas de patches e o que muitos percebem como sua relutância em compartilhar informações detalhadas sobre questões críticas de segurança. Em novembro passado, o fornecedor de segurança Malwarebytes bateu na empresa por levar cerca de sete meses para lidar com uma grave vulnerabilidade em Catalina, embora a falha estivesse sendo explorada por meses. Os malwarebytes descreveram o incidente como um exemplo da inconfiabilidade da Apple quando se trata de corrigir qualquer coisa, exceto as versões mais recentes de seus sistemas operacionais e software.
FONTE: DARK READING