top of page

Apple apresura parches para dos amenazas de día cero encontradas en iOS y macOS



Apple publicó este jueves correcciones para dos vulnerabilidades críticas de día cero en iPhones, iPads y Macs que dan a los hackers un peligroso acceso a las partes internas de los sistemas operativos que ejecutan los dispositivos.


Apple atribuyó a un investigador anónimo el descubrimiento de ambas vulnerabilidades. La primera vulnerabilidad, CVE-2022-22675, reside en macOS para Monterey y en iOS o iPadOS para la mayoría de los modelos de iPhone y iPad. El fallo, que se deriva de un problema de escritura fuera de límites, da a los hackers la capacidad de inyectar código malicioso que se ejecuta con privilegios del kernel, la región más sensible a la seguridad del sistema operativo. El CVE-2022-22674, por su parte, también se debe a un problema de lectura fuera de los límites que puede conducir a la divulgación de la memoria del kernel.


Lluvia de vulnerabilidades de tipo días cero de Apple


CVE-2022-22674 y CVE-2022-22675 son la cuarta y quinta vulnerabilidad de tipo día cero que Apple parchea este año. En enero, la compañía se apresuró a lanzar parches para iOS, iPadOS, macOS Monterey, watchOS, tvOS y el software HomePod para corregir un fallo de corrupción de memoria de día cero que podría dar a los explotadores la capacidad de ejecutar código con privilegios del kernel. El fallo, rastreado como CVE-2022-22587, residía en el IOMobileFrameBuffer. Otra vulnerabilidad, CVE-2022-22594, permitía a los sitios web rastrear información sensible del usuario. El código de explotación de esa vulnerabilidad se hizo público antes de que se publicara el parche.


En febrero, Apple publicó una corrección para un fallo de uso después de la liberación en el motor del navegador Webkit que daba a los atacantes la posibilidad de ejecutar código malicioso en iPhones, iPads y iPod Touches. Apple dijo que los informes que recibió indicaban que la vulnerabilidad -CVE-2022-22620- también podría haber sido explotada activamente.


Una hoja de cálculo que los investigadores de seguridad de Google mantienen para rastrear los días cero muestra que Apple corrigió un total de 12 vulnerabilidades de este tipo en 2021. Entre ellas se encuentra un fallo en iMessage que el marco de software espía Pegasus atacaba mediante un exploit de "clic cero", lo que significa que los dispositivos se infectaban simplemente al recibir un mensaje malicioso, sin necesidad de que el usuario realizara ninguna acción. Dos vulnerabilidades de tipo día cero que Apple parcheó en mayo permitieron a los atacantes infectar dispositivos totalmente actualizados.

bottom of page