Actualizaciones de seguridad para vulnerabilidades 0-day en iPhone y Mac

Apple ha publicado actualizaciones de seguridad para subsanar dos vulnerabilidades de día cero (0-day) en sus productos iPhone, iPad y Mac, que permitirían a las aplicaciones realizar ejecución remota de código (RCE) con privilegios de kernel.

Las vulnerabilidades reportadas son: CVE-2022-22675 y CVE-2022-22674. Las cuales se detallan a continuación:

  • CVE-2022-22675 sin una criticidad, ni puntuación asignada aún. Esta vulnerabilidad se debe a un problema de escritura fuera de los límites en el decodificador de medios AppleAVD, que permitiría a las aplicaciones realizar ejecución remota de código (RCE) con privilegios de kernel.
  • CVE-2022-22674 sin una criticidad, ni puntuación asignada aún. Esta vulnerabilidad se debe a un problema de escritura fuera de los límites en el controlador de gráficos Intel que permitiría a las aplicaciones leer la memoria del kernel, provocando la divulgación de la misma.

Los dispositivos afectados en Apple son:

  • Macs con macOS Monterey.
  • iPhone 6s y posterior.
  • iPad Pro (todos los modelos), iPad Air 2 y posterior, iPad 5ª generación y posterior, iPad mini 4 y posterior, y iPod touch (7ª generación).

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:

Nota: Los errores fueron corregidos por Apple en iOS 15.4.1, iPadOS 15.4.1 y macOS Monterey 12.3.1, con validación de entrada mejorada y verificación de límites.

Referencias:

Compartir: